首页
社区
课程
招聘
[原创]新手脱dll的2层壳
发表于: 2010-5-20 23:37 8996

[原创]新手脱dll的2层壳

2010-5-20 23:37
8996

这是某游戏辅助软件的一个主要dll文件,由于想diy其中的某个功能,所以必须先脱壳。我学破解也有一段时间了,但正儿八经的脱壳还是第一次,不怕大伙笑话,我前后花在脱这个壳的时间加起来快半个月了,当前其中也包括很多学习的过程,下面我把脱壳的过程记录下来,希望对和我一样的新手有所帮助。
这是个10kb的dll文件,作者擅长asm,所以肯定是asm编写的。有antidebug,具体机理不知。
PEID检测结果:
普通扫描
PackMan v0.0.0.1 *
深度扫描
UPX 0.80 - 1.24 DLL -> Markus & Laszlo
核心扫描
UPX 0.80 - 1.24 DLL -> Markus & Laszlo
=============================
DIE核心探测也可以检测出压缩过,提示的是:
--> UPX 0.9x - 3.0
而首页的显示
Microsoft Visual C++ | C/C++
External Sign:Packman v0.0.0.1

初步判断是加了2层壳,PackMan v0.0.0.1和UPX 0.80 - 1.24,好,OD加载strongOD插件,选项全选(其实我也不清楚很多选项的作用,但能过反调试就行了)后载入dll,停在以下位置:

1000C098 >  60              PUSHAD
1000C099    E8 00000000     CALL k.1000C09E
1000C09E    58              POP EAX
1000C09F    8DA8 6AFFFFFF   LEA EBP,DWORD PTR DS:[EAX-96]

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (3)
雪    币: 421
活跃值: (83)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
好文章。dll的重定位是比较麻烦。现在的脱壳都针对exe,针对dll的都说很简单只是多个重定位。
2010-5-23 21:37
0
雪    币: 96
活跃值: (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
和楼主比一下,我还是小小菜
2010-5-23 22:36
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
羡慕,真厉害
2010-5-24 16:40
0
游客
登录 | 注册 方可回帖
返回
//