rustam Shirinov
2017-10-23 01:19:54 UTC
最近,我得到了一個示例,該示例可以自我修改其 .text 部分。因此,我在寫操作的 .text 部分上放置了一個斷點,然後繼續。我發現它會將 .text 部分歸零,然後將解密的代碼寫入該部分,然後調用解密的OEP。我使用Scylla來糾正OEP並轉儲 .exe 文件。
它表明該程序僅導入 kernel32.dll 。
這是轉儲的 PEBear 中的code> .exe 文件。
這是我得到的我嘗試在 ImmunityDbg 中打開轉儲的文件。
我獲得的導入內容與 Scylla 給我的文件也大不相同+轉儲的程序沒有運行它立即崩潰。我在做什麼錯了?
謝謝。
您能否提供文件的sha256哈希?
防血壓1604 YB 431
ImmunityDbg是OllyDbg的一個分支,有時兩者都難以識別未包裝部分的代碼。在Olly中,您可以右鍵單擊這些無法識別的代碼,然後單擊“分析”>“分析代碼”。我建議您遵循[此答案](https://reverseengineering.stackexchange.com/a/91/18698)中提到的Igor步驟。請記住這一點,您通常很難製作一個解壓縮的文件可執行文件。
謝謝您的建議,順便說一句,即使我做相同的事情,每次執行相同的過程時,我都會忘記提及哈希值,但是我卻忘了提及。
使用反調試方法是否可能存在惡意軟件?
有一個對`IsDebuggerPresent`的調用,但是我已經對其進行了修補。