/*
* 脱壳的一点笔记
* 穿山甲标准版 单进程
* author jiangym
**/
首先查看该加壳程序加的是否是穿山甲标准壳 单进程的
如果是那么就继续往下看
第一步:使用od打开程序,在调试设置里忽略所有异常,使用插件隐藏od
第二步:下硬件断点 he GetModuleHandleA+5(可以不加) shift+F9执行
然后断在Kernel.dll中,然后执行到用户代码,往下找到je XXXXXXXX,然后改为jmp XXXXXXXX
取消硬件断点
下CreateThread断点 bp CreateThread
F9执行
断下来了,然后单步走,找call ecx或者call edx
看到类似的call跟进去,最后就可以脱壳了
脱壳建议使用loadpe
修正镜像大小 然后转存
最后修复iat
本内容试读结束,登录后可阅读更多
下载后可阅读完整内容,剩余1页未读,立即下载