请教SVKP 1.3X 加密的DLL,脱壳后如何修正指向壳内的解码函数-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

请教SVKP 1.3X 加密的DLL,脱壳后如何修正指向壳内的解码函数

发表于: 2005-3-28 08:20 4289

请教SVKP 1.3X 加密的DLL,脱壳后如何修正指向壳内的解码函数

cAtEyE

2005-3-28 08:20

4289

OEP:
35B5F

IAT:
10051000 ~ 580

重定位：
1DC000 ~ 62F8

这个DLL脱壳还是比较简单的,就是脱壳后修正指向壳内的解码函数麻烦啊
我参看过二哥的那篇EXE修正解码函数,可这个DLL中的代码都是动态生成的,根本没法改啊,请高手赐教!
0006F798 AC       lods byte ptr ds:[esi]
0006F799 32C2    xor al,dl
0006F79B AA       stos byte ptr es:[edi]
0006F79C  ^ E2 FA    loopd short 0006F798
0006F79E 59       pop ecx
0006F79F 5E       pop esi
0006F7A0 FF15 0C4A>call dword ptr ds:[10004A0C] //这里指向壳内解码
0006F7A6 81C4 7000>add esp,70
0006F7AC 61       popad
0006F7AD 68 2A3901>push 1001392A
0006F7B2 C3       retn

如上代码好像是动态生成的哦!
有没有什么招啊?

未脱壳DLL和脱壳后DLL(壳内解码函数没有修正)如下:附件:Orig_Dll.rar 附件:OEP&IAT&ReloFix.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼避开输入表加密，自己看教程 2005-3-28 08:56 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 3 楼不是输入表的问题吧,输入表加密我避开了,也得到了完整是输入表! 犯了个小错误,哈哈 2005-3-28 11:16 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 4 楼问题解决,结贴. 谢谢朋友帮助 ! 2005-3-29 08:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cAtEyE

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼避开输入表加密，自己看教程 2005-3-28 08:56 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 3 楼不是输入表的问题吧,输入表加密我避开了,也得到了完整是输入表! 犯了个小错误,哈哈 2005-3-28 11:16 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 4 楼问题解决,结贴. 谢谢朋友帮助 ! 2005-3-29 08:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复