脱壳基础知识入门

核心提示： Stud_PE工具界面：PE结构图：第二课SEH技术结构化异常处理（StructuredExceptionHandling，SEH）是Windows操作系统处理程序错误或异常的技术，脱壳基础知识入门(2)，SEH是Windows操作系统的一种系统机制，与特定的程序设计语言无关，将会使你跟踪

Stud_PE工具界面：

PE结构图：

第二课SEH技术

结构化异常处理（StructuredExceptionHandling，SEH）是Windows操作系统处理程序错误或异常的技术。SEH是Windows操作系统的一种系统机制，与特定的程序设计语言无关。

外壳程序里大量地使用了SEH，如果不了解SEH，将会使你跟踪十分困难。

由于Ollydbg　对SEH处理异常灵活，因此脱壳用Ollydbg会大大提高效率。

附CONTEXT结构环境：

代码:typedefstruct_CONTEXT{
/*000*/DWORD　　　ContextFlags;
/*004*/DWORD　　　Dr0;
/*008*/DWORD　　　Dr1;
/*00C*/DWORD　　　Dr2;
/*010*/DWORD　　　Dr3;
/*014*/DWORD　　　Dr6;
/*018*/DWORD　　　Dr7;
/*01C*/FLOATING_SAVE_AREAFloatSave;
/*08C*/DWORD　　　SegGs;
/*090*/DWORD　　　SegFs;
/*094*/DWORD　　　SegEs;
/*098*/DWORD　　　SegDs;
/*09C*/DWORD　　　Edi;
/*0A0*/DWORD　　　Esi;
/*0A4*/DWORD　　　Ebx;
/*0A8*/DWORD　　　Edx;
/*0AC*/DWORD　　　Ecx;
/*0B0*/DWORD　　　Eax;
/*0B4*/DWORD　　　Ebp;
/*0B8*/DWORD　　　Eip;
/*0BC*/DWORD　　　SegCs;
/*0C0*/DWORD　　　EFlags;
/*0C4*/DWORD　　　Esp;
/*0C8*/DWORD　　　SegSs;
/*0CC*/　　BYTE　　ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];
/*2CC*/}CONTEXT;

第三课认识壳