Dump技術在脫殼中的重要地位不言而喻,事實上這是由於這個from memory to disk的過程,我們才會把這個“脫殼”這兩個字理解得如此形象。
在基本的脫殼概念中,我們似乎一直被公式化,教條化的東西是束縛著,在這裡我覺得我這篇文章要教會大家的不僅僅是dump的技巧,而是要在原理的層次上進一步的探索,對於只能照本宣科的人來說,創新是永遠不可能的事情。而如果不能真正的理解原理,理解為什麼那麼我們只能永遠的停留在應用的階段。
由於時間關係,在文中有大量的程式碼和一些概念由於時間關係沒有解釋清楚,而對於記憶體屬性的保護,以及模擬LordPE的更多的功能將是以後和各位的工作了。這一點我覺得“磚”能這樣拋,相信“玉”也能令人期待了。
致謝:
在國慶期間,我決定寫這篇文章的時候。我得到了很多人的幫助和鼓勵。首先,要感謝的是朋友,他們是love8909和sen兩位兄弟,而發表在成員區的時候也得到了論壇成員的的鼓勵。當然,你可能說這些東西都是別人的。沒錯,基本上我上面所學習到的知識並不新穎,是《軟體加密技術內幕》中hying教會了我決大部分東西,要好好的謝謝他(也許他並不這麼認為)。當然還有KanXue大哥,在他的支援下我能順利的發表這篇文章。而在編寫程式碼的同時,對於程式模組的exe確定的問題,也捆饒了我很久,在這裡我要謝謝forgot,是他的提醒,我才能堅定了我的做法!還有很多要感謝的人,但是在最後我卻想把這篇文章送給一個我最愛的女孩,經管也許她永遠不會看到這些話….
參考文獻:
《軟體加密技術內幕》--- 看雪學院
《windows環境下32位組合語言程式設計》--- 羅雲彬
《Windows 程式設計》---- Charles Petzold
《JIURL玩玩Win2k程式執行緒篇 PEB》--- JIURL
《病毒程式設計技術-API函式地址的獲取》--- 溫玉潔
《PE結構分析軟體--SDK開發實踐》--- 北極星2003
《PE檔案之旅》 --- prince
個人簡介:
馬駿(Lenus Margin),生於1981.10.12,廣西柳州 ,在度過了痛苦6年小學,比較痛苦的6年中學,現在在南京郵電大學度過非常痛苦的7年大學生活。本科專業是電子科學與技術(基本上和電子沒有關係,關心的只是光子)。目前於南郵研究生二年級,繼續研究“光學工程”專業“光通訊與光資訊處理” 方向。
於2004年7月跨入密界,經過一年的潛水終於混成了菜鳥。不想上站一看,發現廉頗老矣。密界新人倍出,而老將背影還未曾望見。也罷,寫此小文聊以慰籍。望各位看官走過路過,千萬不要罵過….阿彌陀佛,善哉,善哉。