我目前正在尝试反转一个 EXE 格式的程序,我相信用 Microsoft Visual C++ 2010 编写和编译。最终目标是映射可执行文件功能,并找到一种方法来完全绕过文件。我曾尝试使用 ollydbg 打开文件。
Olly 表示它可能不是一个 win32 应用程序,接受后,olly 无法启动该程序。日志什么也没说。然而,该程序在正常上下文中完美启动。经过一些阅读后,我似乎很清楚作者必须以某种方式利用 PE 标头来混淆调试器。
我的问题是,肯定有插件或调试器可以更接近地模仿 Windows 加载程序,因此可以运行这些文件,如果可以,您能列出一个例子吗?
我这样说是因为我可以在资源黑客中打开文件,但是 PEid 又不能。
PS - 启动程序然后尝试附加没有任何作用,因为该过程未列出。
我读过的:
RESE - 基本上与 PE 混淆到了 Windows 无法加载 exe 的程度
RESE - 仅针对 Resource Hacker(这很有趣)
RESE - 解释其他资源编辑器的方法,是否有适用于 Olly 的方法
Virus Bulletin - 解释 PE 操作,介绍 PeSweep
PE 标头(不完整):
