能力值:
( LV13,RANK:283 )
|
-
-
2 楼
试了几个win32的壳,mpress和nspack据没有改变.net程序的输入表中的_CorExeMain,NET PE文件的第15项数据目录COM的RVA为0x2008,大小为0x48。
codeveil和Themida将数据目录中的Com RVA 和Size均设置为0,输入表也改变了,不知道该壳是怎么通过_CorValidateImage函数验证的呢?
_CorValidateImage函数的验证过程可以参考
deeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8G2M7r3W2U0i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4g2Q4x3V1j5J5x3o6l9&6x3o6R3I4y4#2)9J5c8U0p5K6i4K6u0r3k6o6g2V1y4X3p5$3j5e0u0Q4x3X3b7H3k6r3t1K6i4K6u0V1y4o6N6W2j5g2)9J5k6r3q4W2k6o6g2Q4x3X3c8T1j5K6p5$3y4e0V1^5y4o6x3#2k6X3y4Q4x3X3g2Z5N6r3#2D9
|
能力值:
( LV13,RANK:283 )
|
-
-
3 楼
我用罗云彬的Win32汇编里面的AddCode代码尝试了一下,该代码并没有修改.net程序的输入表和数据目录,仍然是显示应用程序正常初始化(0xC00000007B)失败,仍然是验证的问题,高手帮忙啊。
|
能力值:
( LV13,RANK:283 )
|
-
-
4 楼
只能把.net程序肢解后,添加元数据和MSIL后,重新链接?
|
|
|
|
