Loading... 脱壳-OEP 特征 release 版本的 vs 程序的特征有哪些? 1. 入口点 call xxxx jmp yyyy 2. 入口点第一个 API 调用是 kernel32.GetSystemTimeAsFileTime 0040221B FF15 58B04000 CALL DWORD PTR DS:[<&KERNEL32.GetSystemT>; kernel32.GetSystemTimeAsFileTime 3. 区段表的特征,比如第一个区段名是.text,是代码段 4. 二进制特征,E8????????E9 5. 连接器版本, vc98 6 vc2003 7 vs2005 8 vs2008 9 vs2010 10 vs2012 11 vs2013 12 vs2015 14 vs2017 14.1 vs2019 14.? 6.IAT 调用 FF15???????? 00401011 FF15 F4B04000 CALL DWORD PTR DS:[<&USER32.DialogBoxParamW>] ; user32.DialogBoxParamW 7.vs2013 第一个 CALL 内部特征 5657BF4EE640BBBE0000FFFF3BC7 004021FA 56 PUSH ESI 004021FB 57 PUSH EDI 004021FC BF 4EE640BB MOV EDI,0xBB40E64E 00402201 BE 0000FFFF MOV ESI,0xFFFF0000 00402206 3BC7 CMP EAX,EDI 8. 第二个区段是.rdata,区段开始处就是 IAT 9. winmain 函数的特点 4 个参数 第一个是 hInstance,即当前模块基地址 012C114A 56 PUSH ESI 012C114B 50 PUSH EAX ; kernel32.BaseThreadInitThunk 012C114C 6A 00 PUSH 0x0 012C114E 68 00002C01 PUSH 000.012C0000 012C1153 E8 A8FEFFFF CALL 000.012C1000 最后修改:2020 年 12 月 26 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏