[翻译]<Exploit-ID>_脱壳实战-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[翻译]<Exploit-ID>_脱壳实战

发表于: 2011-12-24 13:16 8286

[翻译]<Exploit-ID>_脱壳实战

小樱

2011-12-24 13:16

8286

【翻译】脱壳实战
作者：Arunpreet Singh
译者：Sakura（小樱）
声明：原文于2011-12-14刊登在国外著名安全网站Exploit-ID，转载请注明出处。
21bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2^5M7r3I4G2K9i4c8Q4x3X3c8A6k6q4)9J5k6h3y4G2L8g2)9J5c8X3I4A6L8X3E0Q4x3V1j5$3x3#2)9J5k6i4m8V1k6R3`.`.

文章不难，但思路不错，可供学习。
文件较大，放在华为网盘上：
862K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8D9i4K6u0W2k6r3u0S2L8X3E0Q4x3X3g2U0L8$3#2Q4x3V1k6U0x3r3t1@1x3%4g2E0K9$3S2I4

呵呵，在此祝大家圣诞快乐，新年快乐O(∩_∩)O

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

【Exploit-ID】脱壳实战_译者：小樱.part1.rar （0.98MB，71次下载）
【Exploit-ID】脱壳实战_译者：小樱.part2.rar （0.98MB，156次下载）
【Exploit-ID】脱壳实战_译者：小樱.part3.rar （0.98MB，209次下载）
【Exploit-ID】脱壳实战_译者：小樱.part4.rar （88.76kb，72次下载）

收藏・7

免费・6

支持

最新回复 (8)
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼感谢楼主的辛勤劳动！ 2011-12-24 14:43 0
weizi 雪币： 22 活跃值： (1203) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 309 粉丝 12 关注私信	weizi 1 3 楼正在下，看看那 2011-12-24 15:36 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 4 楼完全打不开。。 2011-12-25 00:59 0
Naylon 雪币： 227 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 5 楼支持~又见Sakura的译文，这篇也够长的!! 2011-12-25 11:48 0
Naylon 雪币： 227 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 6 楼仔细看了下，原来是EXE注入。ResumeThread下断，学习了。有些地方翻译的有点小马虎： 3) 从挂起进程的PEB中获取基地址，例如在[EXB+8]处。 7) 修补第二个EXE的基地址到挂起进程的PEB，在[EBX+8]处。（把第二个EXE的基址改为[EBX+8](PEB->ImageBaseAddress, 即第一个EXE的基址)）仅作建议，共同交流 2011-12-25 12:31 0
小樱雪币： 112 活跃值： (75) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 120 粉丝 1 关注私信	小樱 3 7 楼下载链接已更新 2011-12-25 12:54 0
小樱雪币： 112 活跃值： (75) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 120 粉丝 1 关注私信	小樱 3 8 楼 [QUOTE=Naylon;1032421]仔细看了下，原来是EXE注入。ResumeThread下断，学习了。有些地方翻译的有点小马虎： 3) 从挂起进程的PEB中获取基地址，例如在[EXB+8]处。 7) 修补第二个EXE的基地址到挂起进程的PEB，在[EBX+8]处。（把第二个EXE的基址改为[EBX+8](PEB->Image...[/QUOTE] 不错不错。。Thx for the feedback！ 2011-12-25 12:56 0
非虫雪币： 2325 活跃值： (1058) 能力值： (RANK：350 ) 在线值：发帖 32 回帖 412 粉丝 145 关注私信	非虫 7 9 楼萨克拉酱~~圣诞快乐 2011-12-25 13:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小樱

发帖

120

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼感谢楼主的辛勤劳动！ 2011-12-24 14:43 0
weizi 雪币： 22 活跃值： (1203) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 309 粉丝 12 关注私信	weizi 1 3 楼正在下，看看那 2011-12-24 15:36 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 4 楼完全打不开。。 2011-12-25 00:59 0
Naylon 雪币： 227 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 5 楼支持~又见Sakura的译文，这篇也够长的!! 2011-12-25 11:48 0
Naylon 雪币： 227 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 6 楼仔细看了下，原来是EXE注入。ResumeThread下断，学习了。有些地方翻译的有点小马虎： 3) 从挂起进程的PEB中获取基地址，例如在[EXB+8]处。 7) 修补第二个EXE的基地址到挂起进程的PEB，在[EBX+8]处。（把第二个EXE的基址改为[EBX+8](PEB->ImageBaseAddress, 即第一个EXE的基址)）仅作建议，共同交流 2011-12-25 12:31 0
小樱雪币： 112 活跃值： (75) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 120 粉丝 1 关注私信	小樱 3 7 楼下载链接已更新 2011-12-25 12:54 0
小樱雪币： 112 活跃值： (75) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 120 粉丝 1 关注私信	小樱 3 8 楼 [QUOTE=Naylon;1032421]仔细看了下，原来是EXE注入。ResumeThread下断，学习了。有些地方翻译的有点小马虎： 3) 从挂起进程的PEB中获取基地址，例如在[EXB+8]处。 7) 修补第二个EXE的基地址到挂起进程的PEB，在[EBX+8]处。（把第二个EXE的基址改为[EBX+8](PEB->Image...[/QUOTE] 不错不错。。Thx for the feedback！ 2011-12-25 12:56 0
非虫雪币： 2325 活跃值： (1058) 能力值： (RANK：350 ) 在线值：发帖 32 回帖 412 粉丝 145 关注私信	非虫 7 9 楼萨克拉酱~~圣诞快乐 2011-12-25 13:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复