如何提取dll导出函数的汇编代码，并在vc或masm中编译-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
maxzism 雪币： 169 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	maxzism 2 楼 dll基址+偏移 dll基址可以alt+e查看这次dll基址是10000000， base= ::LoadLibrary("Dll名字"); _asm { pushad mov ecx,base add ecx,0a040 MOV EAX, DWORD PTR DS:[ecx] popad } 要这样不行，就自己解析pe，找到重定位信息再改吧 2012-3-29 16:15 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 3 楼我那个dll的基址是10000000，那 MOV EAX, DWORD PTR DS:[1000A040] ; 改为 MOV EAX, DWORD PTR DS:[A040] ?? 2012-3-29 17:13 0
wusha 雪币： 8508 活跃值： (18405) 能力值： ( LV4，RANK：40 ) 在线值：发帖 185 回帖 985 粉丝 130 关注私信	wusha 4 楼为什么不直接调用导出函数，而非要把代码挖出来用 2012-3-29 20:17 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 5 楼呵呵，只为学习啊！ 2012-3-29 20:25 0
pestu 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	pestu 6 楼先将dll加载到内存中，根据重定位表中的数据重定位代码段数据，然后再提取代码啊。 2012-3-29 23:48 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 7 楼对于这种地址od好像已经重定位了，会有下划线提示，对于地址100a040的值，每次调试都不一样，不是个常量，真不知道反出汇编代码，独立编译，继续等待高手 2012-3-30 09:39 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 8 楼顶一下顶一下顶一下顶一下顶一下 2012-4-5 08:49 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 9 楼楼主的想法太天真了，以为搞定重定位表就搞定了一切，其实整个看来有太多的问题，不如自己逆向，重写代码。 2012-4-5 09:19 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 10 楼 100a040要重新计算偏移位置的，1000A040 - 10001533 + 现在加载的该指令地址就可以了 2012-4-23 04:54 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 11 楼 dll导出函数的汇编代码~~ 2012-4-23 07:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
maxzism 雪币： 169 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	maxzism 2 楼 dll基址+偏移 dll基址可以alt+e查看这次dll基址是10000000， base= ::LoadLibrary("Dll名字"); _asm { pushad mov ecx,base add ecx,0a040 MOV EAX, DWORD PTR DS:[ecx] popad } 要这样不行，就自己解析pe，找到重定位信息再改吧 2012-3-29 16:15 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 3 楼我那个dll的基址是10000000，那 MOV EAX, DWORD PTR DS:[1000A040] ; 改为 MOV EAX, DWORD PTR DS:[A040] ?? 2012-3-29 17:13 0
wusha 雪币： 8508 活跃值： (18405) 能力值： ( LV4，RANK：40 ) 在线值：发帖 185 回帖 985 粉丝 130 关注私信	wusha 4 楼为什么不直接调用导出函数，而非要把代码挖出来用 2012-3-29 20:17 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 5 楼呵呵，只为学习啊！ 2012-3-29 20:25 0
pestu 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	pestu 6 楼先将dll加载到内存中，根据重定位表中的数据重定位代码段数据，然后再提取代码啊。 2012-3-29 23:48 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 7 楼对于这种地址od好像已经重定位了，会有下划线提示，对于地址100a040的值，每次调试都不一样，不是个常量，真不知道反出汇编代码，独立编译，继续等待高手 2012-3-30 09:39 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 8 楼顶一下顶一下顶一下顶一下顶一下 2012-4-5 08:49 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 9 楼楼主的想法太天真了，以为搞定重定位表就搞定了一切，其实整个看来有太多的问题，不如自己逆向，重写代码。 2012-4-5 09:19 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 10 楼 100a040要重新计算偏移位置的，1000A040 - 10001533 + 现在加载的该指令地址就可以了 2012-4-23 04:54 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 11 楼 dll导出函数的汇编代码~~ 2012-4-23 07:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 如何提取dll导出函数的汇编代码，并在vc或masm中编译 0.00雪花