首页
社区
课程
招聘
脱ARM加的DLL壳!脱壳后的DLL帮我看看!
发表于: 2005-4-8 11:30 7527

脱ARM加的DLL壳!脱壳后的DLL帮我看看!

2005-4-8 11:30
7527
附件:dumped_.rar  脱了壳的
基本方法还是和以前一样的!找到自己做的几个不足的地方!
RecImport  显示 DLL 基点为  00870000
我用得到的输入表 -870000  结果可以抓取修复但是程序仍然不能正常运行
请高手指点!附件:M2Server.rar   原程序


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (36)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
重定位表的问题

014039F9    8B048D 64A19100 mov eax,dword ptr ds:[ecx*4+91A164]
//诸如91A164之类数据没有重定位
2005-4-8 11:55
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
多 谢老大及时回复!我搞了下!还是有问题!DLL的壳就是不好脱!
我发了个原程序上来!老大帮看看!如果老大觉得不合适把哪个附件删除了就好!
2005-4-8 12:05
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
输入表也有问题
2005-4-8 12:43
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好的!谢谢老大指点!我再继续努力!相信胜利属于自己!
2005-4-8 12:56
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
6
OEP也不对   
多努力吧
2005-4-8 13:08
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
啊!!!老大那我真的不会了,你给点提示吧!!
他的基点是 870000  !按你说的WIN98的 记事本方法 没有办法入手啊 老大!!我已经搞的焦头烂额了!
2005-4-8 13:38
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
8
OEP RVA=0005AD40
2005-4-8 13:44
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
 老大,我找到问题的关键开始是我在内存地址上下断点错误了・
后来我重新做了

OEP =0005AD40=008CAD40-00870000

输入表=008CE118-00400000
大小为687 可是还是不对啊!

是否存在附加数据呢?
2005-4-8 17:02
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
10
没有附加数据
就一个标准壳
2005-4-8 17:58
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
但是现在问题出在那里呢?我开始有些迷糊了!输入表?OEP都排除了!
我是这样做的:
   找到入口后直接LordPE 完全脱壳!然后找调用的API 得到输入表后就用RecImport得到输入表CUT掉垃圾指针!修改OEP后就修复了!
替换原DLL后!程序仍然不正常!我一直在脱arm加的EXE的 壳!
也没有这么麻烦啊!真不知道问题出在那里!请老大指出!
2005-4-8 18:38
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
12
附件在18楼
比较看看
BTW:没有主程序无法详细测试,不清楚是否还有其他校验

2005-4-8 18:51
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
谢谢FLY 老大
我来测试下!
2005-4-8 18:52
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
测试结果一切正常!可是真不知道自己的问题出在那里了!重定位表我最后也做了!和你的一样.就是我没有优化!比你的大了好多了!
在就是在用 RecImport 的修复的时候!都该设置那些!诚心的 希望大讲讲!
说实话!老大真是高人,和您学了不少东西我会加倍努力的!谢谢!等我自己多练习下!一定把他写出来!!
2005-4-8 19:08
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tom
15
我下了FLY 老大的UnPacKed.M2Server.rar我用LoadLibraryA加栽了
UnPacKed.M2Server.dll结果是非法操作和加栽失败,当然我也
加栽了原程序M2Server.rar 里的dll 结果成功,我用的是win98.
2005-4-9 01:53
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
16
TO tom:
你试试把UnPacKed.M2Server.dll放在浅点的目录下,如 D:\
把UnPacKed.M2Server.dll改名为M2Server.dll或者1.dll
然后再加载看看

TO limin520:
标准壳,你找的输入表、OEP都有问题。脱壳方法和以前一样
2005-4-9 02:29
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tom
17
我按你的方法作但结果忍然是非法操作和加栽失败,我用W32dsm893
反汇编,看了你脱的dll发现Import table为空,这样在dll加载执行
中遇到API函数就会加栽失败。
2005-4-9 14:07
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
18
试试这个,看看能否在98下加载成功

附件:UnPacKed.m2server.rar
2005-4-9 22:50
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tom
19
加载成功.Thank you
2005-4-10 01:27
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
呵呵!老大出马,一个顶俩!正在努力!!
2005-4-10 09:47
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
老大,我想问下到底该怎样才能准确的调用API然后达到找到输入表的目的呢?
2005-4-10 13:03
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
各位老大!再帮我看看到底那里有问题啊!找了很多资料和教程结果还是不能工作!FLY老大一下就搞好了还给我指点了!我按着做了但是还是不可以!是不是在什么细节上出错呢??
我的输入表地址是:
004CE118 大小为 687 然后获得输入表剪切掉垃圾指针!改OEP=0005AD40  然后修复抓取!最后再用 LordPE 载入!修改重定位表 RVA=00062000 大小为 00005F34 保存后仍然不能正常!问题在那里我找了好久了!真心的谢谢各位!
我脱了的DLL
2005-4-11 11:39
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
23
避开重定位了没有?
没有则需要修改DLL为重定位后的基址
2005-4-11 11:49
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
避开了啊!我是找到了OEP后才调用的 API啊!按照教程的思路来的啊!应该没有错啊!老大,你的得到的输入表基址 是多少啊?也是调用的API 来的吗 ??有这方面的工具吗?
2005-4-11 11:57
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
还是用98的笔记本还是2000的啊
2005-4-11 12:58
0
游客
登录 | 注册 方可回帖
返回
//