1.概述
这个就是个smc,为什么会归于加壳,我个人理解是和UPX的运行方式有点像把,不对应该是说和压缩壳的运行方式
很相似,都是先运行一段解密代码,之前的符号表也替换了下
2.解题
有两种方式一种是类似elf脱壳的方式
gdb attach,这里其实就是一种让程序先运行起来,先运行必然先执行解密代码,自然把程序自动还原了
我们在坐收渔翁之利就好,attach进程,然后把内存中运行,解密后的机器码dump出来,就是解密过的了
不过这题有点坑啊,dump不出来,不知道是不是我手法的问题。。记录下过程
先运行这个程序,再另外开一个终端,
先查pid
再根据 cat /proc/pid/maps查看它的虚拟内存空间分布
再gdb attach pid 上去
然后 dump binary memory [PATH] startadr endadr就完事了。
2.ida写脚本,直接还原
这里真的太简单了。。没有啥操作好记录的,