摘要:
IAT在内存中和在文件中的特征? IAT在内存中是一个函数地址数组,在文件是是一个RVA数组 重定位的原理是什么? 重定位地址的计算: addr = 映像基地址+VA+OffSet 重定位地址处的数据: [addr] – 原基地址 + 现基地址 [addr] + (现基地址–原基地址) 重定位在内存 阅读全文
摘要:
脱壳0.upx.exe ① 找OEP ESP定律 跟脱aspack.exe方法差不多。 脱壳0.exe(FSG 2.0) ① 找oep 单步跟踪 跳转到OEP代码: 观察寄存器,看是否有在获取导入表的代码附近代表快到OEP了。 就能找到 JMP DWORD PTR DS:[EBX+0xC] ② 阅读全文