我一直在编写自己的PE文件打包器,而且我一直在解密代码部分。到目前为止,我已经设法添加了一个新的部分,加密代码部分,更改入口点,使其首先运行我的解密例程,当然还编写了解密例程。解密例程类似于这个Writing a File Infector/Encrypter: Writing the Compiled Stub (3/4),但它只有一个简单的xor 7解密(大部分是相同的,我刚刚更改了解密例程)。据我所知,在我的调试器中,.text(代码)部分得到了解密,但有时会陷入其中:
call probni-o.__security_init_cookie
(olly dbg说EIP = 0),当我说有时候我的意思是,因为有时它会好起来我的程序运行正常,但有时候没有(只有在调试器中才能正常运行,当我正常启动时它会赢“T)
我还忽略了另一个问题,但不知道这两个问题是否相关(可能不是);当我添加自己的部分时,我已将SizeOfRawData与部分对齐对齐,因为我已经在几个地方读过,但是我的PE文件不是有效的Win32应用程序,但是当我写它时没有对齐它,运行正常,所以我忽略了它......
提前致谢!