Dump原理.doc

标题：浅谈脱壳中的Dump技术 作者：Lenus Margin 摘要： 本文首先指出了DUMP技术的原理，并尝试着编写一个实现于LordPE的基本功能的dump，并针对dump的编写一层一层的突出了dump过程中所注意的事项，对其加以不断的完善；讨论了一般的anti-dump的原理和解决的办法，用实践说明在脱壳中dump的技巧。最后比较了几种常用的dump工具的优劣。 关键词： Dump,PEB,Anti-dump,OEP Abstract: This paper first point out the principle of the dump skills, and try to write a program to achieve the fundamental function which the LordPE’s dump can do. And pointing to the attention of the writing, I improve my dump program on and on. I try to discuss the normal principle of anti-dump and the way to solve it. Using the example to explain the dump skill in the process of unpacking. Finally , I compare some of usual dump tools. Keywords: Dump, PEB,Anti-dump,OEP 目录: 1．前言 （3） 第一章：Dump的原理 （4） 2.1分析 2.2 实现 2.3试验 2.4小结 第二章：Dump程序的改进（7） 3.1获取Imageofsize 3.2对齐节表 3.3小结 第三章：Anti-dump的原理（10） 4.1纠正imagesize 4.2其他anti方式 4.3实战 4.4小结 第四章：Dump的位置（21） 5.1在OEP处dump 5.2不在OEP处dump 5.3他山之石 5.4实战 5.4小结 第五章：Dump工具的比较（29） 6.1比较 6.2小结 结论（32） 谢辞 （32） 参考文献（32） 个人简介（32） 前言： “知者不言，言者不知” 老子 《道德经》 你会dump吗？ 你还是只在OEP处dump吗？ 你知道dump的原理吗？ 你遇到过anti-dump的壳吗，你知道如何对付它吗？ 你明白几种dump工具的优劣吗？ 请原谅我，一开始就这么不识趣的抛出了这几个无里头的问题。我记得龙应台说过：正因为我那时什么都不懂，所以才会写下那些文字。我也是一个言者不知的人，这篇文章我将尝试的帮助大家去理解一个dump的原理和在脱壳中dump的技巧，如果这篇文章让你明白了一些东西，那么这篇文章的目的算是达到了。如果你是高手，也不用嘲笑我的无知，毕竟我们都是这么过来的，指出我的错误和不足是我更愿意看到的。 此篇文章共分为五章。在前三章中，我试图在阐释一些dump的原理，但这需要一些C语言和windows编程的功底。相信这些部分会让很多人头疼。在后面的两章也许你会更加感兴趣，在第四章中我举了三个例子进行说明dump的技巧，而在第五章中我还会针对几种常用的dump工具发表一下自己不成熟的看法。 好了，带着上面的问题，让我们开始我们的dump之旅。 Dump的原理 Knowledge is a treasure, but practice is the key to it. 　 知识是一宝库，而实践就是开启宝库大门的钥匙。 ——Fuller 如果说要讲dump的原理，那么我们最简单的办法就是自己写一个象LordPE那样的dump程序。下面我就来详细说明一下，一个dump程序是如何工作的，如何把内存中的数据保存到文件中的。 一．分析 对于dump来说，他的英文翻译就是“转存”。也就是说把内存中或者其他的输入转存到另一个位置，当然对于我们现在说的dump就是把内存中运行的PE进程的数据，从内存中抓取出来，然后在用文件的形式保存下来。 根据上面的分析我们基本上得到了一个这样的思维。Dump程序要做的事分几个基本的步骤： 在系统中找到目标进程 在进程中确定进程的大小imagesize 把进程中的数据保存到文件 二.实现 好了，现在我们就可以具体来实现各个部分的功能了。 在系统中找到目标进程就是实现一个基本的任务管理器的把进程列出的功能。 在这个实现中我们采用了BOOL GetProcessListFunc(HWND hDlg,HWND hWin