首页
社区
课程
招聘
用Ollydbg手脱UPX加壳的DLL
发表于: 2004-5-30 21:59 28147

用Ollydbg手脱UPX加壳的DLL

fly 活跃值
85
2004-5-30 21:59
28147
收藏
免费 10
支持
分享
最新回复 (67)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
顶上去,好查找,谢谢提供,够看一阵的了。
2005-7-5 18:28
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
52
来坐个沙发
2005-7-6 17:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
我从精华集看到这篇文章,尝试着跟着做,成功了。当然DLL的基址因为计算机不同有所区别,楼主的教学是003B0000,我这里是003D0000,文章总算是看懂了。
但我手头的一个DLL文件也是UPX压的,工具脱不了,手脱时查找xchg ah,al
rol eax,10
xchg ah,al
add eax,esi
这个命令序列都有。
重定位表的信息也有,问题是下断后没法断在重定位表,程序运行了。
请问FLY版主,这种情况下应该怎么处理?
2005-11-9 16:33
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
54
使用Relox修复重定位表
看雪主页有下载
2005-11-9 16:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
谢谢版主回复。
唉,惭愧,因为程序提前运行了,根本到了不“飞向光明之巅”,还没到重定位表修复的阶段啊...
这种情况是不是原因比较复杂?
2005-11-9 17:08
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
56
那就不要找重定位处理
直接找popad去OEP
2005-11-9 18:23
0
雪    币: 717
活跃值: (480)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
57
fly老大,你能不能做个脱壳动画给我们看看。
2005-11-10 12:53
0
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
学习中!!!
2005-11-10 14:06
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
在转存中跟随3B4020,上下看到许多函数地址,很明显的可以找到IAT开始和结束的地址:
我跟的3b4020怎么跟你的函数地址不同啊,我找的也是kernel32.GetVersion这个API.
你的函数地址是003B4000  1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77  
我机子上却不是这些啊?????
2005-11-12 16:15
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
60
不同系统平台下api函数地址是不一样的
2005-11-12 17:21
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
转存中跟随3B4020
就是看他的内存地址吧?
中间如果有一组00 00 00 00算是起始或者是末尾吗?还是有二级0就算呢?
我找了个API是这样的
开始地址=003c90a0 结束地址=003c9224
那RAV=000090A0 大小=003c9184 是这样算的吗?楼主
你有QQ吗?可以在Q上聊会吗?
2005-11-12 18:23
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
我找了个API
去掉了“使用来自磁盘的PE部首”的选项!
选中进程,然后点“选取DLL”,选择我的dll
填入RVA、大小点“Get Import”,得到 "无效".不知道是什么原因
RVA,大小,我都正确填啦呀
我找了N个API,RVA和大小都是一样的.但是就是无效啊
这二个东东没搞定,就不能改OEP,更不能FixDump是不??
还有楼主,你为什么在003B826D处下断呢>??
如自UPX1段的6000处开始。为什么要从6000开始呢??
用LordPE修正dumped_.dll的重定位表RVA=00006000、大小=000003B0,保存之。
这个RVA跟大小,是不是在PE编辑器里改imagebase跟sizeofheaders,还是?
不好意思啦,楼主,因为我是新手了,只有你能教我啦~~如果你有空就帮帮我
小弟在这先谢了!!!
2005-11-13 00:14
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
63
看点基础的东西
http://www.pediy.com/tutorial/chap8/Chap8-1.htm
先脱exe的
2005-11-13 01:21
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
EXE的我应该没什么问题啦,一般都可以脱啊
你可以考考我啊,有什么壳发给我试试啊?
就是搞不懂,我找的RVA,大小.也是按到你的那种得出来的.就是无效
可以告诉我这是什么原因吗?楼主
用LordPE修正dumped_.dll的重定位表RVA=00006000、大小=000003B0,保存之。
这个RVA跟大小,是不是在"PE编辑器"里改imagebase跟sizeofheaders,还是?
请您帮帮忙啊!
2005-11-13 09:10
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
65
先看些基础知识,否则别人很难向你解释清楚
upx的重定位表需要处理的
至于最后保存的地方是“从dumped_.dll找块空白代码”,大小当然是重定位表的大小。修改可以用LordPE来改,重定位表部分数据信息
Relocation  RVA  Size
2005-11-13 13:00
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
66
多谢楼主教诲!
最后再请问下,能不能把下面二个LordPE修正的截成图发给我看看,
哎~小弟实在不知道在哪个地方修正啊(指:重定位表RVA,大小,基址),
我按你的过程做,就是最后这二个不会啦...
用LordPE修正dumped_.dll的重定位表RVA=00006000、大小=000003B0,保存之。
再用LordPE修正dumped_.dll的基址为003B0000,OK,脱壳完成啦。
别人新手怎么可以发附件啊,我不可以?
2005-11-13 15:08
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
67

2005-11-13 15:26
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
68
谢了,fly!
小弟总算知道啦~~
如果有祥细的步骤就更好了(指:对学DLL脱壳的新手,如:小弟啦)
2005-11-14 09:30
0
游客
登录 | 注册 方可回帖
返回
//