|
|
|
小生使用ollydbg 脱upx加壳的的 dll时,感觉找到OEP的地址不太对,请各位大侠帮忙看下
我感觉是对的,只是不知道你处理了重定位数据没有? |
|
我也把Asprotect 1.23RC4脱掉了,哈哈哈,太激动了!!
谢谢,看这篇文章能学到很多原理上的知识~! |
|
重建重定位表脚本
好东西,谢谢了,先收下~! |
|
|
|
脱ARM的DLL时遇到的问题~!
呵呵,不好意思,还有一点问题~! fly大哥得到的重定位:RVA=0011F000 SIZE=00004B48 而我得到的是:RVA=0011E000 SIZE=00004B14 奇怪的是我用这两个数据都能运行原程序,而脱了壳的原程序却运行不起来(原程序也是ARM的壳),这是为何? 还有在用fly大哥找重定位数据的方法的时候,发现重定位处理的地址是变的,有时候能断下来,有时候不能断下来,这又是为何? 请高手解释一下~!先谢谢~! 第一次找到的重定位地址: 00F0634B 8B00 mov eax, dword ptr ds:[eax] 00F0634D 8985 40D8FFFF mov dword ptr ss:[ebp-27C0], eax 00F06353 A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06358 83C0 04 add eax, 4 00F0635B A3 80C5F100 mov dword ptr ds:[F1C580], eax 00F06360 A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06365 8B00 mov eax, dword ptr ds:[eax] 00F06367 8985 78D8FFFF mov dword ptr ss:[ebp-2788], eax 00F0636D A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06372 83C0 04 add eax, 4 00F06375 A3 80C5F100 mov dword ptr ds:[F1C580], eax 00F0637A 83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0 00F06381 74 6F je short 00F063F2 00F06383 83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0 00F0638A 74 66 je short 00F063F2 00F0638C 8B85 04D7FFFF mov eax, dword ptr ss:[ebp-28FC] 00F06392 8B8D 14D7FFFF mov ecx, dword ptr ss:[ebp-28EC] 00F06398 3B48 34 cmp ecx, dword ptr ds:[eax+34] ; Easymir1.10000000 第二次找到的: 0131634B 8B00 mov eax, dword ptr ds:[eax] 0131634D 8985 40D8FFFF mov dword ptr ss:[ebp-27C0], eax 01316353 A1 80C53201 mov eax, dword ptr ds:[132C580] 01316358 83C0 04 add eax, 4 0131635B A3 80C53201 mov dword ptr ds:[132C580], eax 01316360 A1 80C53201 mov eax, dword ptr ds:[132C580] 01316365 8B00 mov eax, dword ptr ds:[eax] 01316367 8985 78D8FFFF mov dword ptr ss:[ebp-2788], eax 0131636D A1 80C53201 mov eax, dword ptr ds:[132C580] 01316372 83C0 04 add eax, 4 01316375 A3 80C53201 mov dword ptr ds:[132C580], eax 0131637A 83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0 01316381 74 6F je short 013163F2 01316383 83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0 0131638A 74 66 je short 013163F2 0131638C 8B85 04D7FFFF mov eax, dword ptr ss:[ebp-28FC] 01316392 8B8D 14D7FFFF mov ecx, dword ptr ss:[ebp-28EC] 01316398 3B48 34 cmp ecx, dword ptr ds:[eax+34] ; Easymir1.10000000 |
|
脱ARM的DLL时遇到的问题~!
谢谢fly大哥的指点,我终于搞定这个DLL了~! |
|
|
|
|
|
|
|
脱ARM的DLL时遇到的问题~!
照着教程再试了一下,当中断在这里时 0006AB84 009904EF 返回到 009904EF 来自 kernel32.GetModuleHandleA 0006AB88 009A2D40 ASCII "kernel32.dll" 0006AB8C 009A3F24 ASCII "VirtualFree" 再F9就会出现“堆栈溢值”的异常,Shift过了后就到了这里 0006EAD0 00999957 返回到 00999957 来自 kernel32.GetModuleHandleA 到不了Majic Jump的地方,后面的重定位的地方也断不了。 最后就会出现这样的错误~! |
|
ASProtect 1.23 RC4 脱壳过程,各位看看哪里不对啊!!
这里应该需要填入函数~! |
|
修复时出现强制呼叫!
用AsprDbgr载入,得到IATRVA和SIZE~! |
|
脱ARM的DLL时遇到的问题~!
最初由 fly 发布 先谢谢fly大哥~! 其实这些数据并不是最重要的,fly大哥能教教怎么脱吗?还有如何过那个异常找OEP和Majic Jump呢? |
|
|
|
|
|
|
|
|
|
Krypton 0.5加壳程序脱壳及输入表修复记
对于输入表只是简单的xor和add,手动可以计算出来,用ImprotREC的追踪层次3可以得到所有的指针,不过用ImportREC不能得到全部的输入表,需要自己手动填入RVA和SIZE,这样就可以得到所有指针了~! 004C2207 xor dword ptr [4C2222],231AE8B7 004C2211 mov eax,[4C2222] // DWORD value: 54C0FF6F 004C2216 xor dword ptr [4C2222],231AE8B7 004C2220 jmp eax eax中放的就是指针 后面是我得到的IAT: OEP: 0000A0A6 IATRVA: 00023000 IATSize: 000004BC |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值