-
-
QQLIB.DLL脱壳笔记(原创)
-
发表于:
2005-8-24 16:19
4729
-
我没有QQLIB.dll的exe文件,所以脱壳后无法测试
我初学脱壳,如果文章有不对的地方请指正
用peid0.93检查Nothing Found.没办法只能乱来了
用Ollydbg载入
CTRL B寻找特征字符61 E9
找到代码 POPAD // 断下
JMP QQLIB.1000419C // 跳到OEP
用LordPE完全Dump得到dd.dll
打开imrec16抓住QQLIB.DLL,填入以下参数
OEP 419c
ITA RVA 5000
IAT size f0
fixdump后得到dd_.dll文件。
然后用pe的编辑工具查看dd_.dll,有个upack的区段
原来是个upack的壳。
不知道upack对重定位表加密处理吗?
如果没有加密的话,是不是可以省略用relox修复的过程?
我也没有exe的测试程序,也没试过用relox可以修复重定位表
大家可以试一下
怎么添加upack的特征串,用peid0.93可以检查出来
我去年来看雪论坛学习脱壳,不过连续学习脱壳的时间不长
此文抛砖引玉,希望高手们补充
对我提出的2个疑问给予解答,谢谢!
附件:qqlib.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
