返回
【精品】浅谈脱壳中的Dump技术

【精品】浅谈脱壳中的Dump技术

ID:45748900

大小:299.72 KB

页数:34页

时间:2019-11-17

【精品】浅谈脱壳中的Dump技术_第1页
【精品】浅谈脱壳中的Dump技术_第2页
【精品】浅谈脱壳中的Dump技术_第3页
【精品】浅谈脱壳中的Dump技术_第4页
【精品】浅谈脱壳中的Dump技术_第5页
资源描述:

《【精品】浅谈脱壳中的Dump技术》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、标题:浅谈脱壳中的Dump技术作者:LenusMargin摘要:本文首先指出了DUMP技术的原理,并尝试着编写一个实现于LordPE的基本功能的dump,并针对dump的编写一层一层的突出了dump过程中所注意的事项,对其加以不断的完善;讨论了一般的anti-dump的原理和解决的办法,用实践说明在脱壳中dump的技巧。最后比较了几种常用的dump工具的优劣。关键词:Dump,PEB,Anti-dump,OEPAbstract:Thispaperfirstpointouttheprincipleofthedumpskills,andtrytow

2、riteaprogramtoachievethefundamentalfunctionwhichtheLordPE'sdumpcando.Andpointingtotheattentionofthewriting,Iimprovemydumpprogramonandon.Itrytodiscussthenormalprincipleofanti-dumpandthewaytosolveit.Usingtheexampletoexplainthedumpskillintheprocessofunpacking.Finally,Icompareso

3、meofusualdumptools.Keywords:Dump,PEB,Anti-dump,OEP目录:1.前言(3)2.第一章:Dump的原理(4)2.1分析2.2实现2.3试验2.4小结3.第二章:Dump程序的改进(7)3.1获取Imageofsize3.2对齐节表3.3小结4.第三章:Anti-dump的原理(10)4.1纟L

4、正imagesize4.2其他anti方式4.3实战4.4小结5.第四章:Dump的位置(21)5」在OEP处dump5.2不在OEP处dump5.3他山Z石5.4实战5.4小结6.笫五章:DumpT具的比较(

5、29)6.1比较6.2小结7.结论(32)谢辞(32)参考文献(32)个人简介(32)前言:“知者不言,言者不知”•…老子《道德经》你会dump吗?你还是只在OEP处dump吗?你知道dump的原理吗?你遇到过anti-dump的壳吗,你知道如何对付它吗?你明白儿种dump工具的优劣吗?请原谅我,一开始就这么不识趣的抛出了这几个无里头的问题。我记得龙应台说过:正因为我那时什么都不懂,所以才会写下那些文字。我也是一个言者不知的人,这篇文章我将尝试的帮助大家去理解一个dump的原理和在脱売中dump的技巧,如果这篇文章让你明白了一些东西,那么这篇文

6、章的目的算是达到了。如果你是高手,也不用嘲笑我的无知,毕竟我们都是这么过来的,指出我的错误和不足是我更愿意看到的。此篇文章共分为五章。在前三章屮,我试图在阐释一些dump的原理,但这需要一些C语言和windows编程的功底。相信这些部分会让很多人头疼。在后血的两章也许你会更加感兴趣,在第四章中我举了三个例子进行说明dump的技巧,而在第五章中我还会针对几种常用的dump工具发表一下自己不成熟的看法。好了,带着上面的问题,让我们开始我们的dump之旅。第一章•Dump的原理Knowledgeisatreasure,butpracticeisthe

7、keytoi仁知识是一宝库,而实践就是开启宝库大门的钥匙。Fuller如果说要讲dump的原理,那么我们最简单的办法就是自己写一个象LordPE那样的dump程序。下面我就來详细说明一下,一个dump程序是如何工作的,如何把内存屮的数据保存到文件中的。一.分析对于dump來说,他的英文翻译就是“转存”。也就是说把内存中或者其他的输入转存到另一个位置,当然对于我们现在说的dump就是把内存中运行的PE进程的数据,从内存中抓取出来,然后在用文件的形式保存下来。根据上面的分析我们基本上得到了一个这样的思维。Dump程序要做的事分几个基本的步骤:1.在

8、系统中找到目标进程2.在进程中确定进程的大小imagesize3.把进程中的数据保存到文件二实现好了,现在我们就可以具体來实现各个部分的功能了。1.在系统中找到冃标进程就是实现一个棊木的任务管理器的把进程列岀的功能。在这个实现中我们采用TBOOLGetProcessListFunc(HWNDhDlg,HWNDhWindList);这个函数里而调用了儿个基木的函数:CreateTo<)lhelp32Snapshot,Process32First,Process32Next这个列出进程的功能就轻松的实现了。(具体的请看我的代码Lenus_dump_

9、l.cpp)2.在进程中确定要dump的大小是一件很冇意思的事情,我打算慢慢的讲解寻找这数据的办法,这一节我们先用一个基本的方法。我们先用一个笨一点的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。