-
-
[求助]DLL要怎么脱壳?脱壳前只有一百K,脱壳后居然变成了5M,不知道是不是弄错了
-
发表于:
2011-8-23 21:04
5412
-
[求助]DLL要怎么脱壳?脱壳前只有一百K,脱壳后居然变成了5M,不知道是不是弄错了
是一个DLL文件来的,原本只有90多K,外面有一层NsPacK V3.7 -> LiuXingPing *这个壳,我用ESP定律脱下来,DUMP后得到的文件是5M多,是不是弄错了?(这个DLL是资源DLL来的)
然后再用PEID看,脱下来的DLL显示为Microsoft Visual C++ v7.1 DLL [Overlay]。MS什么时候有VS7.1的编译器了,不知道是不是伪造的,但PEID已经查不出是什么壳了
脱壳后的DLL入口部分代码如下,大家分析一下这种开头是不是VC7.1的?
10002701 . 6A 0C PUSH 0C
10002703 . 68 E0C10010 PUSH Zongheng.1000C1E0
10002708 . E8 8F040000 CALL Zongheng.10002B9C
1000270D . 33C0 XOR EAX,EAX
1000270F . 40 INC EAX
10002710 . 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
10002713 . 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]
10002716 . 33FF XOR EDI,EDI
10002718 . 3BF7 CMP ESI,EDI
1000271A . 75 0C JNZ SHORT Zongheng.10002728
1000271C . 393D 5C0C0110 CMP DWORD PTR DS:[10010C5C],EDI
10002722 . 0F84 B3000000 JE Zongheng.100027DB
10002728 > 897D FC MOV DWORD PTR SS:[EBP-4],EDI
1000272B . 3BF0 CMP ESI,EAX
1000272D . 74 05 JE SHORT Zongheng.10002734
1000272F . 83FE 02 CMP ESI,2
10002732 . 75 31 JNZ SHORT Zongheng.10002765
10002734 > A1 FC240110 MOV EAX,DWORD PTR DS:[100124FC]
10002739 . 3BC7 CMP EAX,EDI
1000273B . 74 0C JE SHORT Zongheng.10002749
1000273D . FF75 10 PUSH DWORD PTR SS:[EBP+10]
10002740 . 56 PUSH ESI
10002741 . FF75 08 PUSH DWORD PTR SS:[EBP+8]
10002744 . FFD0 CALL EAX
10002746 . 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
10002749 > 397D E4 CMP DWORD PTR SS:[EBP-1C],EDI
1000274C . 0F84 85000000 JE Zongheng.100027D7
我用再用OD载入这个DLL的时候,OD提示是加密过的。不是已经脱了壳了么,怎么还是加密过的?大家给点意见啊
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
