脱壳

约 186 个字 预计阅读时间 1 分钟

soft-ice 脱壳 684:19b 软件断点，使解密完成 不可以使其进行重定位，否则引用就会改变，重定向工作是在载入内存后进行的 需要dump的内容：psp+10h 终点shellcode d ss:sp查看堆栈中的ds es，即为psp，加上10h即为首段段地址(684:0)

进入bochs内置调试器，取得控制权。writemem "d:\h2.dat" 0x6840 0x150，抓下来的内容不包含文件头。只有code+data+stack，stack中可能不为空，置为00

抓取eve文件头。 writemem ",,,"......

拼接文件头和段内容 从偏移+6选中20h字节，shift+F3，用新头覆盖老文件头的块

修复文件长度，文件头修复完成

shift+F5，插入代码段数据段和堆栈段