怎么静态获取加壳的PE结构
日期:2014-05-17 浏览次数:20996 次
如何静态获取加壳的PE结构
这里我只是想简单获取加壳后的EXE文件的PE结构,但是通过分析后,获得到得PE结构,函数的起始地址不是实际的起始地址,或者找不到。这里我用的是静态分析,请教各位达人有没好方法解决这个问题
------解决方案--------------------
找到pushad指令,然后分析。
这是大致的思路,具体情况具体对待
这里我只是想简单获取加壳后的EXE文件的PE结构,但是通过分析后,获得到得PE结构,函数的起始地址不是实际的起始地址,或者找不到。这里我用的是静态分析,请教各位达人有没好方法解决这个问题
------解决方案--------------------
找到pushad指令,然后分析。
这是大致的思路,具体情况具体对待
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
