首页
论坛
课程
招聘
[求助]关于进程卸载
2021-1-26 19:30 1108

[求助]关于进程卸载

2021-1-26 19:30
1108

进程 !

 

小弟学滴水逆向三期,P86课海哥作业是做一个程序加壳,在写壳程序的时候遇到一个问题,海哥在课上没有详细的讲,只能跪求看雪的大哥们给我讲下。
--------------分割线------------------------

 

(1) 卸载外壳程序的文件镜像(ZwUnmapViewOfSection)

 

就是上边这个函数ZwUnmapViewOfSection。
究竟什么叫卸载外壳程序的文件镜像?群里的朋友说,卸载和不卸载都可以,但是我还是想不明白。

 

我是这么想的:
1、以挂起的方式创建进程,系统分配一个低2G的空间(此时这2G空间里已经有一部分壳程序的内容了)。
2、申请空间,把源文件的镜像从src的SizeOfImage这个位置开始存
2、修改壳程序的基址、主程序的EIP、修复重定位表
3、恢复主线程

 

不知道为什么要卸载外壳程序的文件镜像,是不是卸载了,任务管理器就看不到了?

 

第一次发帖,求大佬讲讲


[注意] 招人!base上海,课程运营、市场多个坑位等你投递!

收藏
点赞0
打赏
分享
最新回复 (2)
雪    币: 719
活跃值: 活跃值 (363)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ffggddss 活跃值 2021-1-28 12:26
2
0
不是,任务管理器里还是看的到的,卸载文件镜像也就是把该程序内的原数据删除掉,恢复成一个干净的内存,主要是用来创建傀儡进程,你创建了傀儡进程,之后卸载掉他的文件镜像,写入自己的文件镜像,这样看起来就是一个傀儡的进程,但其实运行的是你自己的程序.
雪    币: 28
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
夺命黑裤衩 活跃值 2021-4-8 08:59
3
0
谢谢大佬,原来卸载镜像是这个意思,学到了
游客
登录 | 注册 方可回帖
返回