思路:
perl是解释型语言,perlapp只是把你的perl程序压缩后放在资源里面,执行的时候解压的。所以只要运行,就能得到解压过的程序。但运行到什么地方才能得到?结合了几篇帖子我发现了一个关键字符串script,在这个字符串出现后往下的汇编代码中有call,此处就是解压过程,我们在call之后下断点,就能在eax中得到解压后的代码。
e.g.
查壳
IDA查看
关键字perl
DBG调试,查找关键字script
定位,下断点
运行
perl是解释型语言,perlapp只是把你的perl程序压缩后放在资源里面,执行的时候解压的。所以只要运行,就能得到解压过的程序。但运行到什么地方才能得到?结合了几篇帖子我发现了一个关键字符串script,在这个字符串出现后往下的汇编代码中有call,此处就是解压过程,我们在call之后下断点,就能在eax中得到解压后的代码。
关键字perl