流水账笔记:PE文件格式(关于dump)
来源:互联网 发布:淘宝招工 编辑:程序博客网 时间:2024/05/16 05:21
当一段代码被加密后,我们很难 静态分析 代码。但是我们知道,代码运行时一定会解密,这时候,可以通过分析内存中的数据,重写到文件中,文件中的代码就是解密后的代码,这种方式被叫做 内存dump。
OD 就有 dump 功能。我们将程序运行后,用 OD 附加,再使用 dump 功能就可以还原这个文件了。此时,加密后的代码就被还原了。
如何防止内存dump
OD 在 dump 时,实际上是根据节表来还原文件的。这是因为节表中记录了每个节区的数据,这样才能还原到文件中。但是节表只有在 加载 exe 文件 时使用一次,运行后节表就不会被使用了。如果要防止 dump,可以将内存中的 节表数据抹去。
节表在内存中抹去,OD 中的 dump 功能将失效。如将内存中节表的数据都抹成 0xFF,那么 dump 出来后,文件中节表的数据也将都是 0xFF,可知 OD 即是 通过内存中的节表 来 dump 的。
待续…
阅读全文
0 0
- 流水账笔记:PE文件格式(关于dump)
- 流水账笔记:PE文件格式(Dos Header)
- 流水账笔记:PE文件格式(FileHeader)
- 流水账笔记:PE文件格式(OptionalHeader 上)
- 流水账笔记:PE文件格式(IAT)
- 流水账笔记:PE文件格式(OptionalHeader 下)
- 流水账笔记:PE文件格式(SectionHeaders)
- 流水账笔记:PE文件格式(RVA & FOA)
- 流水账笔记:PE文件格式(导出表)
- 流水账笔记:PE文件格式(TLS)
- 流水账笔记:PE文件格式(资源表)
- 流水账笔记:PE文件格式(手工增加节)
- 流水账笔记:PE文件格式(导入表注入---手动)
- 流水账笔记:PE文件格式(重定位表)
- 流水账笔记:PE文件格式(TLS手动注入)
- PE文件格式笔记
- PE文件格式学习笔记
- PE文件格式笔记
- Python--day1 Python的安装
- Mybatis的基本使用实例
- ZED stereo camera开发入门教程(2)
- 695. Max Area of Island
- 257. Binary Tree Paths
- 流水账笔记:PE文件格式(关于dump)
- ZED stereo camera开发入门教程(3)
- 图像空间域和频域的理解
- Java Swing实现仿win7计算器
- Xcode9学习笔记6
- SimGAN-Captcha代码阅读与复现
- TensorFlow 使用例子-LSTM实现序列标注
- 初级程序员学习的心得
- Xcode9学习笔记7