能力值:
( LV9,RANK:3410 )
|
-
-
26 楼
最初由 clide2000 发布
明白了,原来要到oep处看基址才行,那若跟到oep处发现它重定位了,是不是在修复脱壳文件时就要把其基址修改过来呢,如oep为3b11c9,此时就应该把脱壳文件的基址改成3b0000,不然就不能用了吧. 如果跳过了重定位,则不需要修改基址
否则就要修改啦
|
能力值:
( LV8,RANK:130 )
|
-
-
27 楼
看了怎么多,我想对我崇拜的大哥们说几句:)
对于一个加了UPX的dll我能不能像手脱PECompact加壳的DLL那样做啊
我尝试了一个Sonique的插件Dee2.dll
到了 三、重定位表 修复 就一头雾水了
clide2000大哥或者是fly大哥是否能写一篇演示手脱UPX的DLL呢  p :p :D
|
能力值:
( LV9,RANK:3410 )
|
-
-
28 楼
有空写吧
|
能力值:
![]()
(RANK:10 )
|
-
-
29 楼
我也是到了第三步的时候就晕了~~~~~~~~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
好东西俄,我喜欢!
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
fly大哥,
那个 PEComAngela.exe 还能不能 提供下载?
谢谢!
|
能力值:
( LV9,RANK:170 )
|
-
-
32 楼
有空我也写篇
|
能力值:
( LV9,RANK:3410 )
|
-
-
33 楼
现在我的机子里面没有PEComAngela
哪位兄弟有给他传一下
|
能力值:
( LV9,RANK:3410 )
|
-
-
34 楼
另外:PECompact通过修改后可以自动恢复重定位表,不需要用这个工具了
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
谢谢 douser, fly. :)
哪位能说说 "修改PECompact (DLL) 自动恢复重定位表"?
菜鸟提问,高手莫怪!
谢谢.
|
能力值:
( LV9,RANK:3410 )
|
-
-
37 楼
有空再写
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
谢谢 fly.
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
我刚接触脱壳,遇到了一个大麻烦,在论坛搜索了半天,实在是没办法了,请教这个DLL如何脱壳,我在用OD载入后,发现所停的位置不是在jmp处,而peid提示是PECompact 1.68 - 1.84 -> Jeremy Collake加的壳,根据版主的办法,没有成功,还望多多帮忙。谢谢。
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
我上传无法成功,提示“文件上传失败1”
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
传成功了,估计也就被封贴了
所以还是省点劲吧
|
能力值:
( LV2,RANK:10 )
|
-
-
42 楼
请教FLY 如何判断是否已经重定位
例如教程中所述:"ftgg.dll有点特殊,如果用Ollydbg1.10C直接加载的话则dll不重定位,用DLL_Loader.exe加载的话则进行重定位"
多谢
|
能力值:
( LV9,RANK:450 )
|
-
-
43 楼
请教 FLY 2个问题
运行ImportREC,选中Ollydbg的loaddll.exe的进程,然后点“选取DLL”,选择ftgg.dll,填入RVA=0001B000、大小=3A0、OEP=00009690 ,点“Get Import”。用PEditor纠正dumped.dll的DumpFixer,修正区块。FixDump!
上面就是程序对重定位表的处理,我们可以在10038706的retn处下断,F9运行,断下后就可以得到重定位表的大小了。
ESI=10033C38,重定位表结束地址=10033C38-4=10033C34
问题 1 用PEditor纠正dumped.dll的DumpFixer,修正区块。FixDump! 这句没明白意思,我的PEDITOR是汉化的。对应的应该是什么?
问题 2 ESI=10033C38,重定位表结束地址=10033C38-4=10033C34 为什么要减4?
|
能力值:
( LV9,RANK:3410 )
|
-
-
44 楼
1、找个英文版看一下
2、lods dword ptr ds:[esi]再判断重定位是否结束的
|
能力值:
( LV2,RANK:10 )
|
-
-
45 楼
不错啊
|
|
|
|
