私は独自の PE ファイル パッカーを作成してきましたが、コード セクションの解読に行き詰まっています。これまでのところ、新しいセクションを追加し、コード セクションを暗号化し、最初に復号化ルーチンを実行するようにエントリ ポイントを変更し、もちろん復号化ルーチンを作成しました。復号化ルーチンは、これと似ています ファイルインフェクター/エンクリプターの作成: コンパイル済みスタブの記述 (3/4)ですが、単純な xor 7 復号化しかありません (ほとんどは同じです。復号化ルーチンを変更しただけです)。 . デバッガーで確認できる限り、.text (コード) セクションは正常に復号化されていますが、スタックしている場合があります。
call probni-o.__security_init_cookie
(olly dbg say EIP = 0 )、時々それを言うとき、私はそれを意味します。なぜなら、時にはそれがうまくいき、私のプログラムがうまく動くからです。
私が無視した別の問題もありますが、これら 2 つの問題が関連しているかどうかはわかりません (おそらく関連していません)。独自のセクションを追加するSizeOfRawData
と、いくつかの場所で読んだように、セクションの配置に合わせて配置しましたが、PE ファイルは有効な Win32 アプリケーションではありませんが、配置せずに書くと実行されますわかりましたので、無視しました...
前もって感謝します!