首页
论坛
专栏
课程

[调试逆向] [求助] 新人请教关于smc的问题

2018-7-23 20:38 1466

[调试逆向] [求助] 新人请教关于smc的问题

2018-7-23 20:38
1466
遇到验证代码函数处被加密处理 , 然后手动解密后发现代码位于.data 貌似F5不能反编译,我该如何让IDA能够识别它为一个函数,然后能够反编译



[公告][征集寄语] 看雪20周年年会 | 感恩有你,一路同行

最新回复 (4)
SdKfz 2018-7-23 20:52
2
0
在403020处按p
HeyLXF 2018-7-23 22:02
3
0
SdKfz 在403020处按p
谢谢,麻烦了
HeyLXF 2018-7-24 16:07
4
0
SdKfz 在403020处按p
我想在程序完成解密后dump出来,但是dump出来的程序提示出错,这应该怎么办  

SdKfz 2018-7-24 19:47
5
0

这是动态分配的内存,不在PE的image内。可以设法拦截内存分配操作,使其解码到PE范围内,比如事先给PE文件增加一个区段来保存解码结果。

或者把动态分配的内存区域dump出来,作为一个区段补到PE文件后,只要修正PE头使其被映射到同样地址。

最后于 2018-7-24 19:49 被SdKfz编辑 ,原因:
游客
登录 | 注册 方可回帖
返回