某带壳内存补丁loader逆向分析RECORD
RESULT:1. 内含有一段经典CRC校验码,但loader中好像没有用过
2. 流程是,用CreateFile,ReadFile确认文件存在, CreateProcess创建进程,ReadProcessMomory读取进程指定时期内的某数据进行比较,WriteProcessMomory在适当时机写入数据(目标数据被解压完成)
3. 逻辑:启动进程,并行一样进行比较,在目标进程解压完成后立即修改,抢时间型loader
4. 问题:这样的loader不易被调试,loader被挂起,那么目标进程可能完全运行
见附件... 厉害~~~风中的神话
还不会用IDA分析东东呢/:011 直接写个东西Hook ReadProcessMomory、Hook WriteProcessMomory 就搞定了 根本不用这么麻烦了/:012 写个钩子,直接强力注入就可以了,更加简单,有没有加壳都无所谓
页:
[1]