一家之言,一种利用SEH技术脱壳的思路(699字)_安全中国

利用Apihook到进程的入口，建立自己的SEH链表，在SEH的异常处理程序中建立Debuger功能，\（也就是修改Context.Eflags的TF标志，然后单步异常时重新修改该标志\），有了这个粗糙的Debuger，我们可以在让其在单步中断到SIDT指令时修改SIDT指令的结果，让其取的是自己建立的一个假的IDTR植，同时自己建立一个假的IDT表，这样程序修改的将是自己的假IDT表，如果程序想int 3或int 1来反跟踪的话，就会发生异常，我们又可以处理以下了。。。。，然后如果只是为了脱壳的话，就HOOK到某个API或则修改程序的某处代码为INT3，然后在异常处理程序中处理开始脱壳。特殊一点如果你想让利用修改IDT进入Ring0进行反跟踪的加壳的程序在NT下执行的话，也可以模拟一个它需要的环境给他吧:-)当然这中方法有一定的局限性.

SEH不仅仅是加壳者的宝刀，也是脱壳者的利箭。