我一直在编写自己的 PE 文件打包器,但我一直在解密代码部分。到目前为止,我已经设法添加了一个新部分,对代码部分进行加密,更改入口点以便它首先运行我的解密例程,当然还编写了解密例程。解密例程类似于编写文件感染器/加密器:编写编译存根(3/4),但它只有一个简单的 xor 7 解密(大部分是相同的,我刚刚更改了解密例程) . 据我在调试器中看到的,.text(代码)部分可以解密,但有时它会卡在:
call probni-o.__security_init_cookie
(olly dbg say EIP = 0 ),当我说有时我是认真的,因为有时它运行良好,我的程序运行良好,但有时不是(它只在调试器中运行正常,当我正常启动它时它不会)
还有一个问题我忽略了,但不知道这两个问题是否有联系(可能没有);当我添加我自己的部分时,我已经SizeOfRawData将部分对齐与我在几个地方读过的部分对齐,但是我的 PE 文件不是有效的 Win32 应用程序,但是当我编写它而不对齐它时,它运行好的,所以我忽略了它...
提前致谢!