DLL 混淆器 - 这是一种什么样的混淆器?

逆向工程 dll
2021-06-23 21:09:40

当我在寻找数据包编辑器时,我在http://www.packeteditor.com/上找到了打开的项目, 当我了解它的工作原理时,我看到应用程序正在注入一个名为 WSPE.dat 的 dll,当我加载这个 WSPE 时。到 ida pro,我发现它是一个被混淆的 dll。它是这样的: SteveW 混淆器

SteveW 部分是什么?我也在其他 dll 上看到了很多这种混淆器,但是 protectionId 扫描结果没有包含在这个注释中:

Section [0x0] 'SteveW  ' has a higher physical size than virtual size..

还有这个:

Warning : Import Table is bad !!!

这是 dll 链接: WSPE.dat

1个回答

我为 WSPE.dat 编写了代码,并且可以确认我是根据提供的名称/密钥以及“无效”PE 标题自定义编写的加密。因此,如果用户尝试修改驱动器上的 PE 标题以允许调试 DLL 以进行转储,那么它将无法在内存中正确解密。

其它你可能感兴趣的问题
上一篇在 IDA 中反编译大函数 下一篇我怎么知道PE文件是否附加了数据?