《加密与解密》2
察看DLL脱壳教程

最初由 fly 发布
《加密与解密》2
察看DLL脱壳教程

看来还要多多练习

OD载入dll，有两种情况，
一 直接停在入口点，如
100024AB: 55                             PUSH EBP    //此处是OEP，od也停在这
100024AC: 8B EC                          MOV EBP,ESP
100024AE: 53                             PUSH EBX
100024AF: 8B 5D 08                       MOV EBX,[EBP+08]
100024B2: 56                             PUSH ESI
100024B3: 8B 75 0C                       MOV ESI,[EBP+0C]
100024B6: 57                             PUSH EDI
100024B7: 8B 7D 10                       MOV EDI,[EBP+10]
100024BA: 85 F6                          TEST ESI,ESI
100024BC: 75 09                          JNZ 100024C7
100024BE: 83 3D A4 76 00 10 00           CMP DWORD PTR [100076A4],00
100024C5: EB 26                          JMP 100024ED
100024C7: 83 FE 01                       CMP ESI,01
100024CA: 74 05                          JZ 100024D1
二 停在10001000    如
10001000   /$  8B4C24 08      mov ecx,dword ptr ss:[esp+8] //OD停在此,而真正的入口点在别处，如peid检测为00001239 ，为什么会这样？
10001004   |.  B8 01000000    mov eax,1
10001009   |.  3BC8           cmp ecx,eax
1000100B   |.  75 0A          jnz short Hook1.10001017
1000100D   |.  8B4C24 04      mov ecx,dword ptr ss:[esp+4]
10001011   |.  890D 60530010  mov dword ptr ds:[10005360],ecx
10001017   \>  C2 0C00        retn 0C
1000101A       90             nop
1000101B       90             nop
1000101C       90             nop
1000101D       90             nop
1000101E       90             nop
1000101F       90             nop
10001020    .  83EC 08        sub esp,8

FLY兄能否给一个解释，帮我解开迷雾。为什么许多dll文件入口点不能被OD断下。thanks！

附件:TEST.rar

先按教程中的例子来练习脱壳
而不是让人脱你放的程序
否则按违规贴处理

多管闲事了
脱壳方法和FLY大侠的<用Ollydbg手脱Armadillo V3.60加壳的DLL >几乎一样,只是脱壳后的文件要用到由壳动态分配的一段,把这一段DUMP出来,补上去,重建PE后,改一下转跳就OK了.壳动态分配的这一段没有重定位数据,而且Armadillo没有加密重定位表,所以用原来的重定位表就可以
OEP:RVA 1814
IAT:RVA 7000 SIZE:120
重定位表:RVA C000 SIZE:6CC
附上脱壳后的文件:附件:dumped_.rar

最初由 popo123456 发布
多管闲事了
脱壳方法和FLY大侠的<用Ollydbg手脱Armadillo V3.60加壳的DLL >几乎一样,只是脱壳后的文件要用到由壳动态分配的一段,把这一段DUMP出来,补上去,重建PE后,改一下转跳就OK了.壳动态分配的这一段没有重定位数据,而且Armadillo没有加密重定位表,所以用原来的重定位表就可以
OEP:RVA 1814
IAT:RVA 7000 SIZE:120
重定位表:RVA C000 SIZE:6CC
........

这位仁兄，我想问你为什么许多dll（包括未加壳和加壳）用od调试有两种入口： 10001000 和真正的oep，这个oep是用peid看的。

一般加壳的DLL都会暂停在EP处，（某些时候需要处理一下才能停住），而不是一载入就会直接停在OEP

最初由 fly 发布
一般加壳的DLL都会暂停在EP处，（某些时候需要处理一下才能停住），而不是一载入就会直接停在OEP

fly兄：教我怎么处理法，谢谢了，别笑我哦，难道dll文件是在编程的时候加了什么选项而造成这样的差异？

1、EP处修改成CC，LordPE也有此功能（配合SoftICE）
2、EP处修改成死循环：EB FE

进入调试器暂停后再恢复原来的代码

谢谢fly兄！

呵呵，论坛上不显示你在线。真有你的！

今天我看到这样一个dll文件，od不认它为有效的可执行文件，加载不了，peid也不认，我随便找的。奇怪附件:qiguai.rar

看看！！！！！！！！！