如何静态获取加壳的PE结构
这里我只是想简单获取加壳后的EXE文件的PE结构,但是通过分析后,获得到得PE结构,函数的起始地址不是实际的起始地址,或者找不到。这里我用的是静态分析,请教各位达人有没好方法解决这个问题
[解决办法]
找到pushad指令,然后分析。
这是大致的思路,具体情况具体对待
发布时间: 2012-01-31 21:28:41 作者: rapoo
如何静态获取加壳的PE结构
这里我只是想简单获取加壳后的EXE文件的PE结构,但是通过分析后,获得到得PE结构,函数的起始地址不是实际的起始地址,或者找不到。这里我用的是静态分析,请教各位达人有没好方法解决这个问题
[解决办法]
找到pushad指令,然后分析。
这是大致的思路,具体情况具体对待