首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [原创]DLL脱壳中修复重定位表的新思路 0.00雪花
发表于: 2011-8-29 15:35 3896

[旧帖] [原创]DLL脱壳中修复重定位表的新思路 0.00雪花

东方容克 活跃值
2011-8-29 15:35
3896

加密与解密第三版中,修复重定位表大概用以下方法:
第一步:
首先需要获取需要重定位的各个RVA地址,保存在一个连续的数据块(bin文件)中。以DWORD的0作为结束。可以通过对外壳加补丁做到这点,参见351页。(感觉纯用OD脚本更方便)
第二步:
然后利用ReloREC工具,将BIN文件拖入界面,然后点击Fix Dump按钮选择DLL文件来修复定位表。

在第一步中,需要跟踪外壳代码中对定位表的处理。因此可能要面对许多讨厌的杂乱的ANTI-DEBUG。
于是我想出个新办法,不必跟踪外壳代码。可一步算出需要重定位的RVA地址。

我们知道,DLL每次加载的地址可能是不同的。我们设法让DLL加载在2个不同的虚拟地址中,然后分别DUMP出2份DLL文件。只要比较这2份DLL文件的不同,就可以得出需重定位的RVA地址了。
那么如何让DLL加载在不同的地址呢?可以修改PE文件头中默认的加载基址。
如果外壳有自校验的话,也可以在不同的虚拟机中加载。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (7)
怪蜀黍
雪    币: 1
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
嗯 思路不错
2011-8-29 15:40
0
东方容克
雪    币: 90
活跃值: (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
类似的方法也可以用于寻找IAT。
尤其是外壳HOOK-API时。

能得到邀请码吗?
2011-8-29 15:48
0
wawt
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
mark!继续学习中!
2011-8-29 15:50
0
东方容克
雪    币: 90
活跃值: (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
对穿山甲的变形膨胀代码,没有人写个自动清理工具什么的吗?不难的吧。
一是去除无用指令;
二是指令的整合。
三是跟踪指令流程,去除杂乱的JMP
2011-8-30 01:04
0
东方容克
雪    币: 90
活跃值: (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
如何判断指令是无效的?

一,根据是否写内存。
二,是否调用API。
....

如何整合指令。
一,根据对堆栈的操作。
二,前后寄存器的比较。
....

肯定是个复杂的深度递归的算法...

很多地方和编译器是反着来的。如果熟悉编译器原理和离散数学,搞这个算法不是不可能把。
2011-8-30 01:11
0
klclkk
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
那书我怎么就看不懂嗫
2011-8-30 10:52
0
habushiwoa
雪    币: 19
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
如果能制作一个工具,具体的实现它,应该是个好东西!
2011-8-30 11:54
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//