[求助]小菜求助脱壳DLL之后修复后仍无法运行-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]小菜求助脱壳DLL之后修复后仍无法运行 0.00雪花

发表于: 2010-10-24 15:14 1561

[旧帖] [求助]小菜求助脱壳DLL之后修复后仍无法运行 0.00雪花

jinzih

2010-10-24 15:14

1561

偶遇到一个DLL,经PEID 查看后，加壳信息为“ASProtect 2.1x SKE -> Alexey Solodovnikov”，如下图：

用ollydbg打开加载，选用从网上下载的插件脚本“ASProtect 2.3 SKE的脱壳脚本.osc”去壳，中间提示过“Fix call xxxxxxx now?”选择是，，之后弹出“IAT fixed. No stolen code at the OEP! Check the address and size of IAT in log window”，选择确定。然后查看记录，最下面信息为“reloc_rav:000F7000
reloc_size:00000B88
iatstartaddr:1001C000
iatstartaddr:0001C000
iatsize:0000018C
当执行[10012CFA]时设置内存断点
OEP_rva:00012CFA”
如下图：

之后，没有关闭OD,直接运行ImportREC，通过进程选择loaddll.exe,再选取该DLL，在OEP处填写00012CFA，在RVA处填写0001C000，在大小处填写0000018C，然后点击“获取输入信息”
显示如下图：

发现有无效函数，点击无效函数按钮，只找到了一个无效函数，右键该函数，跟踪级别1，失败，再右键该函数，“剪切指针”。得到全部有效函数，显示如下图：

确认全部为有效函数后，点击“修复转存”，选取刚才OD得到的un_TH_PAT.dll，发现新生成了一个un_TH_PAT_.dll文件。认为这个文件为修复后的文件，用PEID查看刚生成的文件，为无壳，Microsoft Visual C++ 6.0 DLL编写的，如下图

最后，我把修复后的un_TH_PAT_.dll文件，改名，命名为程序用的真实名字，发现程序依然无法运行，提示，没有找到核心库。至此觉得脱壳失败，后又听说用LoadPE 重建PE,我也拭了一下，选择重建PE按钮，选择最后修复的DLL,如下图

重建完毕后，依然无法运行，提示，没有找到核心库。
现在可以肯定，脱壳失败，但我不明白的是，用PEID查看修复后的DLL，也没有壳了啊，为什么还是不能运行呢，问题出在什么地方了呢，请高手指点一下。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

原始的DLL文件.rar （688.32kb，4次下载）
1.JPG （22.19kb，90次下载）
2.JPG （34.68kb，90次下载）
3.JPG （64.86kb，90次下载）
4.JPG （66.22kb，90次下载）
5.JPG （18.46kb，90次下载）
9.JPG （22.96kb，90次下载）

收藏・0

免费・0

支持

最新回复 (17)
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 2 楼自己先顶一下，没有人愿意指点吗？非常急！ 2010-10-24 15:48 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 3 楼什么时候能转正啊，现在这里的帖子都没有人回答吗？其他的论坛还要邀请码，郁闷！ 2010-10-25 09:12 0
sybs 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sybs 4 楼感觉在无效函数里剪切指针的方法，应该不正确吧。 2010-10-28 13:07 0
唯一天空雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	唯一天空 5 楼哥今天彻底崩溃了 2010-10-28 22:19 0
何厚铧雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 0 关注私信	何厚铧 6 楼期待高手回答。 2010-10-28 22:56 0
kingkongk 雪币： 60 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 157 粉丝 0 关注私信	kingkongk 7 楼帮顶，帮顶 2010-10-29 10:46 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 8 楼补区段了么？？ 2010-10-29 10:55 0
yhwyz 雪币： 177 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	yhwyz 9 楼帮顶一下!!!!! 2010-10-29 12:51 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 10 楼谢谢sybs和水晶蜗牛的回答和其他各位的顶起，希望能有高手具体指点一下问题出在哪了。 2010-10-29 13:19 0
sybs 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sybs 11 楼我也想知道问题出在哪了，和我最近刚准备破的DLL问题很像，是不是脱壳脚本不对呀？ 2010-11-1 11:24 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 12 楼继续等待中。。。。。。 2010-11-3 10:55 0
sybs 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sybs 13 楼 to:水晶蜗牛：怎么补区段？？？ 2010-11-8 15:50 0
fqhlxw 雪币： 1577 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 61 粉丝 0 关注私信	fqhlxw 14 楼发到网盘或者什么地方吧，没钱下载了。。把整个程序都打包。。别发一个DLL，谁知道脱了之后能运行不。。 2010-11-8 15:57 0
zhanhq 雪币： 212 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	zhanhq 15 楼函数不能剪吧~ 2010-11-8 16:50 0
空空师雪币： 74 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	空空师 16 楼坐看大牛回复从中学习技术 2010-11-8 18:12 0
wwwnimaba 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	wwwnimaba 17 楼帮顶，期待高手。 2010-11-8 22:37 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 18 楼这里的人好少啊，求助问答区的人很多，不过我不能在上面发表主题，真是可惜。 2010-11-10 09:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jinzih

发帖

回帖

RANK

关注

私信

他的文章

[求助]小菜求助脱壳DLL之后修复后仍无法运行 1562

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 2 楼自己先顶一下，没有人愿意指点吗？非常急！ 2010-10-24 15:48 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 3 楼什么时候能转正啊，现在这里的帖子都没有人回答吗？其他的论坛还要邀请码，郁闷！ 2010-10-25 09:12 0
sybs 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sybs 4 楼感觉在无效函数里剪切指针的方法，应该不正确吧。 2010-10-28 13:07 0
唯一天空雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	唯一天空 5 楼哥今天彻底崩溃了 2010-10-28 22:19 0
何厚铧雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 0 关注私信	何厚铧 6 楼期待高手回答。 2010-10-28 22:56 0
kingkongk 雪币： 60 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 157 粉丝 0 关注私信	kingkongk 7 楼帮顶，帮顶 2010-10-29 10:46 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 8 楼补区段了么？？ 2010-10-29 10:55 0
yhwyz 雪币： 177 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	yhwyz 9 楼帮顶一下!!!!! 2010-10-29 12:51 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 10 楼谢谢sybs和水晶蜗牛的回答和其他各位的顶起，希望能有高手具体指点一下问题出在哪了。 2010-10-29 13:19 0
sybs 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sybs 11 楼我也想知道问题出在哪了，和我最近刚准备破的DLL问题很像，是不是脱壳脚本不对呀？ 2010-11-1 11:24 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 12 楼继续等待中。。。。。。 2010-11-3 10:55 0
sybs 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	sybs 13 楼 to:水晶蜗牛：怎么补区段？？？ 2010-11-8 15:50 0
fqhlxw 雪币： 1577 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 61 粉丝 0 关注私信	fqhlxw 14 楼发到网盘或者什么地方吧，没钱下载了。。把整个程序都打包。。别发一个DLL，谁知道脱了之后能运行不。。 2010-11-8 15:57 0
zhanhq 雪币： 212 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	zhanhq 15 楼函数不能剪吧~ 2010-11-8 16:50 0
空空师雪币： 74 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	空空师 16 楼坐看大牛回复从中学习技术 2010-11-8 18:12 0
wwwnimaba 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	wwwnimaba 17 楼帮顶，期待高手。 2010-11-8 22:37 0
jinzih 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jinzih 18 楼这里的人好少啊，求助问答区的人很多，不过我不能在上面发表主题，真是可惜。 2010-11-10 09:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复