用Ollydbg手脱UPX加壳的DLL-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

用Ollydbg手脱UPX加壳的DLL

发表于: 2004-5-30 21:59 27972

用Ollydbg手脱UPX加壳的DLL

fly

活跃值

85

2004-5-30 21:59

27972

查看主题内容

收藏・13

免费・10

支持

分享

最新回复 (67) ◀ 1 2 3
sge13 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	sge13 51 楼顶上去，好查找，谢谢提供，够看一阵的了。 2005-7-5 18:28 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 52 楼来坐个沙发 2005-7-6 17:35 0
PenOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	PenOne 53 楼我从精华集看到这篇文章，尝试着跟着做，成功了。当然DLL的基址因为计算机不同有所区别，楼主的教学是003B0000，我这里是003D0000，文章总算是看懂了。但我手头的一个DLL文件也是UPX压的，工具脱不了，手脱时查找xchg ah,al rol eax,10 xchg ah,al add eax,esi 这个命令序列都有。重定位表的信息也有，问题是下断后没法断在重定位表，程序运行了。请问FLY版主，这种情况下应该怎么处理？ 2005-11-9 16:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 54 楼使用Relox修复重定位表看雪主页有下载 2005-11-9 16:39 0
PenOne 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	PenOne 55 楼谢谢版主回复。唉，惭愧，因为程序提前运行了，根本到了不“飞向光明之巅”，还没到重定位表修复的阶段啊... 这种情况是不是原因比较复杂？ 2005-11-9 17:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 56 楼那就不要找重定位处理直接找popad去OEP 2005-11-9 18:23 0
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 32 回帖 106 粉丝 0 关注私信	lchhome 7 57 楼 fly老大，你能不能做个脱壳动画给我们看看。 2005-11-10 12:53 0
herozyf 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 110 粉丝 0 关注私信	herozyf 58 楼学习中！！！ 2005-11-10 14:06 0
xnsh 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	xnsh 59 楼在转存中跟随3B4020，上下看到许多函数地址，很明显的可以找到IAT开始和结束的地址：我跟的3b4020怎么跟你的函数地址不同啊,我找的也是kernel32.GetVersion这个API. 你的函数地址是003B4000 1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77 我机子上却不是这些啊????? 2005-11-12 16:15 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 60 楼不同系统平台下api函数地址是不一样的 2005-11-12 17:21 0
xnsh 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	xnsh 61 楼转存中跟随3B4020 就是看他的内存地址吧? 中间如果有一组00 00 00 00算是起始或者是末尾吗?还是有二级0就算呢? 我找了个API是这样的开始地址＝003c90a0 结束地址＝003c9224 那RAV=000090A0 大小＝003c9184 是这样算的吗?楼主你有QQ吗?可以在Q上聊会吗? 2005-11-12 18:23 0
xnsh 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	xnsh 62 楼我找了个API 去掉了“使用来自磁盘的PE部首”的选项！选中进程，然后点“选取DLL”，选择我的dll 填入RVA、大小点“Get Import”，得到 "无效".不知道是什么原因 RVA,大小,我都正确填啦呀我找了N个API,RVA和大小都是一样的.但是就是无效啊这二个东东没搞定,就不能改OEP，更不能FixDump是不?? 还有楼主,你为什么在003B826D处下断呢>?? 如自UPX1段的6000处开始。为什么要从6000开始呢?? 用LordPE修正dumped_.dll的重定位表RVA=00006000、大小＝000003B0，保存之。这个RVA跟大小,是不是在PE编辑器里改imagebase跟sizeofheaders,还是? 不好意思啦,楼主,因为我是新手了,只有你能教我啦~~如果你有空就帮帮我小弟在这先谢了!!! 2005-11-13 00:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 63 楼看点基础的东西 http://www.pediy.com/tutorial/chap8/Chap8-1.htm 先脱exe的 2005-11-13 01:21 0
xnsh 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	xnsh 64 楼 EXE的我应该没什么问题啦,一般都可以脱啊你可以考考我啊,有什么壳发给我试试啊? 就是搞不懂,我找的RVA,大小.也是按到你的那种得出来的.就是无效可以告诉我这是什么原因吗?楼主用LordPE修正dumped_.dll的重定位表RVA=00006000、大小＝000003B0，保存之。这个RVA跟大小,是不是在"PE编辑器"里改imagebase跟sizeofheaders,还是? 请您帮帮忙啊! 2005-11-13 09:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 65 楼先看些基础知识，否则别人很难向你解释清楚 upx的重定位表需要处理的至于最后保存的地方是“从dumped_.dll找块空白代码”，大小当然是重定位表的大小。修改可以用LordPE来改，重定位表部分数据信息 Relocation RVA Size 2005-11-13 13:00 0
xnsh 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	xnsh 66 楼多谢楼主教诲! 最后再请问下,能不能把下面二个LordPE修正的截成图发给我看看, 哎~小弟实在不知道在哪个地方修正啊(指:重定位表RVA,大小,基址), 我按你的过程做,就是最后这二个不会啦... 用LordPE修正dumped_.dll的重定位表RVA=00006000、大小＝000003B0，保存之。再用LordPE修正dumped_.dll的基址为003B0000，OK，脱壳完成啦。别人新手怎么可以发附件啊,我不可以? 2005-11-13 15:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 67 楼 2005-11-13 15:26 0
xnsh 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	xnsh 68 楼谢了,fly! 小弟总算知道啦~~ 如果有祥细的步骤就更好了(指:对学DLL脱壳的新手,如:小弟啦) 2005-11-14 09:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

fly

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//