Unicorn等引擎的疑问?
本帖最后由 boot 于 2024-4-15 18:26 编辑Unicorn联合Keystone与Capstone引擎曾被应用在还原可执行文件的入口点/OEP/IAT上。目前见到多应用于vc/c++6.0或易语言程序入口点/OEP/IAT的还原。
问题:
那么这些引擎是否可以还原delphi或者VC++ 14.0或其他语言所编译的可执行文件的入口点/OEP/IAT呢?
如果可行,实现思路是什么?
OEP还原是复刻的(就是把原版OEP汇编写入再填入对应的CALL地址), delphi也可以复刻后跑出对应CALL地址
IAT还原主要是靠寄存器或堆栈出现的真实系统CALL地址进行对比后填入的, 实际还要区分FF15 FF25之类的
Unicorn主要是模拟真实汇编的运行
页:
[1]