一、题目背景
模拟 VMP 的反内存转储(Anti-Dump)机制。程序启动后,会自己抹除内存中的 PE 头(DOS Header / NT Header),导致脱壳工具(如 Scylla)无法正常抓取内存镜像并修复 IAT。
-
难度: ⭐⭐⭐⭐(高级)
-
适合人群: 正在学习脱壳、Dump 内存镜像的学员。
-
训练重点:
-
了解 PE 文件头在内存中的映射。
-
VirtualProtect修改内存属性的监控。 -
手动修复 PE 头(从原文件拷贝数据贴回内存)。
-
二、程序说明
-
平台: Win32 x86
-
类型: 控制台程序
-
是否加壳: 无壳(运行时自毁 PE 头)
-
目标: 成功 Dump 出内存并修复能够运行,然后再解出密码(长度为4位)。
- 正确提示为:[+] Dump me if you can! Correct.
请按任意键继续. . . - 程序不能发生异常退出,否则说明修复失败,必须要有请按任意键继续. . .
三、解题提示
-
不要尝试一开始就 Dump,程序启动瞬间已经把头抹平了。
-
在 x32dbg 中对基址(如
0x400000)下内存写入断点,拦截程序自毁的行为。 -
或者在抹除后,使用十六进制编辑器将硬盘上程序的 PE 头原样覆盖到被破坏的内存区域。
下载
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容