SProtect 最全脱壳教程 原理剖析VIP免费

SProtect最全脱壳教程+原理剖析废话不多说，上步骤！1、什么强度？别问，问就是全保护！2、加壳：超级模式3、导入表：超级模式4、内存校验：虚拟模式5、…..文章内容：1.IAT扫描与修复2.antidump处理3.IAT导入表修复4.写补丁进行修复antidumpIAT扫描之出入01之牛头马面之自动运算扫描大法：超级模式的IAT保护强了点，但是没啥用，加密类型大致分为如下几种模式1、Call到IAT解密2、JMP到IAT解密3、CALL到IAT解密然后Jmp进入虚拟机通过以上的特征进行扫描，扫描大概的原理：1、指定代码段开始与结束(.text)，一般代码段的开始地址是0x004010002、扫描代码段和代码段结束的所有call和jmp，并且都是IMM类型3、判断call和jmp的imm是否处于svmp1区段，如果是svmp1区段，则可能是antidump或iat下面通过扫描得出结果：1.2.修复原理：0首先扫描出来的call和jmp要排除antidump1遍历进程所有的模块，取出导出表的各个函数地址，并且记录2跟踪每一个call和jmp，一直到跟踪到ret3判断栈顶[esp]的值是否处于系统库的导出表函数头部4如果栈顶[esp]的值处于某个系统库的导出函数头部，那么[esp]的值就是api地址，这里记录一下api地址（这里还有一种方式可以确定，就是如果[esp]的地址不处于主模块的区间，则就是第系统库或第三方库API地址）5如果确定了[esp]的值就是api，那么[esp+4]的地址如果处于代码段区间就是CALLIAT，如果[esp+4]的地址如果不处于代码段区间，则是JMPIAT类型6如果[esp]的地址处于主模块的区间，那么可能就是MOVR32,IAT类型区分IAT加密的方式分为pushcall和callretn方式：invoke_code_address是扫描出来的调用IAT的地址此时如果[esp+4]-invoke_code_address==5,那么就是pushcall模式，此时iat的开始修复地址就要减1如果[esp+4]-invoke_code_address!=5，那么就是call_retn模式，此时地址，此时iat的开始修复地址就要不需减1引用上述第6点，如果[esp]的地址处于主模块的区间，那么可能就是MOVR32,IAT类型，那么这里需要再次判断[esp]的地址是否处于代码段区间，如果处于代码段区间那么确定就是MOVR32,IAT类型如果确定是MOVR32.IAT类型，则判断api地址–IAT调用的地址如果结果是5且movr32,iat的r32不等于eax，那么就是pushcall模式，否则就是none模式none模式就是原moveax,iat的模式，因为moveax,dwordptrds:[iat]正好够5个字节，所以在修复的地址不需要减1如果结果不等于5，则是callretn模式通过上面的+1或-1以及各种识别操作，可以扫描到IAT如下：if((..||esp4>=g_svmp1_start&&esp4