[讨论]手脱UPX DLL变形壳（半成品）求教育！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]手脱UPX DLL变形壳（半成品）求教育！

发表于: 2012-6-27 19:47 4962

[讨论]手脱UPX DLL变形壳（半成品）求教育！

重重

2012-6-27 19:47

4962

UPX DLL 变形壳

   加壳方式: UPX 0.80 - 1.24 DLL -> Markus & Laszlo
   使用工具: OllyICE,  LordPE,ImpREC1.7 , ReloREC,WinHex
   操作平台: Win XP

一个N年前的东西无意间发现,只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

EP 段名称空白
LordPE 随便改一下字都不能运行自效验！

OD 载入
00B38E60 > $  807C24 08 01  cmp byte ptr ss:[esp+0x8],0x1
00B38E65   .  0F85 7D010000 jnz _th.00B38FE8
00B38E6B   .  60            pushad
00B38E6C   .  BE 0070B200   mov esi,_th.00B27000
00B38E71   .  8DBE 00A0FDFF lea edi,dword ptr ds:[esi-0x26000]
00B38E77   .  57            push edi
00B38E78   .  83CD FF       or ebp,-0x1
00B38E7B   .  EB 0D         jmp short _th.00B38E8A
.......
.......
.......

00B38FB0   > \61            popad
00B38FB1   .  31C0          xor eax,eax
00B38FB3   .  C2 0C00       retn 0xC
00B38FB6   >  83C7 04       add edi,0x4
00B38FB9   .  8D5E FC       lea ebx,dword ptr ds:[esi-0x4]           ;  F2断下
00B38FBC   >  31C0          xor eax,eax
00B38FBE   .  8A07          mov al,byte ptr ds:[edi]                 ;  重定位
00B38FC0   .  47            inc edi
00B38FC1   .  09C0          or eax,eax
00B38FC3   .  74 22         je short _th.00B38FE7
00B38FC5   .  3C EF         cmp al,0xEF
00B38FC7   .  77 11         ja short _th.00B38FDA
00B38FC9   >  01C3          add ebx,eax
00B38FCB   .  8B03          mov eax,dword ptr ds:[ebx]
00B38FCD   .  86C4          xchg ah,al
00B38FCF   .  C1C0 10       rol eax,0x10
00B38FD2   .  86C4          xchg ah,al
00B38FD4   .  01F0          add eax,esi                              ;  标记
00B38FD6   .  8903          mov dword ptr ds:[ebx],eax
00B38FD8   .^ EB E2         jmp short _th.00B38FBC
00B38FDA   >  24 0F         and al,0xF
00B38FDC   .  C1E0 10       shl eax,0x10
00B38FDF   .  66:8B07       mov ax,word ptr ds:[edi]
00B38FE2   .  83C7 02       add edi,0x2
00B38FE5   .^ EB E2         jmp short _th.00B38FC9
00B38FE7   >  61            popad                                    ;  F4 到此
00B38FE8   >- E9 89EEFDFF   jmp _th.00B17E76                         ;  跳到OEP

LordPE Dump 保存
ImpREC 输入 OEP 自动获取 无无效指针 修复保存

构造重定位表


上面找了一片区域NOP掉
pushad
mov edx,dword ptr ds:[00B40000]
sub ebx,00b00000
mov dword ptr ds:[edx],ebx
add edx,0x4
mov dword ptr ds:[00B40000],edx
popad
jmp 00B38FBC   


F4到 

00B38FDF   .  66:8B07       mov ax,word ptr ds:[edi]
00B38FE2   .  83C7 02       add edi,0x2
复制 出来保存bin

UPX2区块里找一片空白地方的地址
运行ReloREC  重定位表的修复

DLL 错误 不知那里出错了 大神给指点一下

这个程序 N年前的东西如果你是作者你也不介意吧！

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

123DLL.rar （173.61kb，6次下载）

收藏・0

免费・0

支持

最新回复 (3)
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2 楼自校验在exe里，bp EndDialog你就知道了。 2012-6-27 22:10 0
重重雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	重重 3 楼你那是脱壳机搞的我的问题出在手稿上修复到最后重定位错误！迷惑！ 2012-6-28 16:24 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 4 楼来看看这个. 2012-6-29 00:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

重重

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2 楼自校验在exe里，bp EndDialog你就知道了。 2012-6-27 22:10 0
重重雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	重重 3 楼你那是脱壳机搞的我的问题出在手稿上修复到最后重定位错误！迷惑！ 2012-6-28 16:24 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 4 楼来看看这个. 2012-6-29 00:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]手脱UPX DLL变形壳（半成品） 求教育！

[讨论]手脱UPX DLL变形壳（半成品）求教育！