-
-
OD脱UPX加的DLL,好似容易!
-
发表于: 2005-11-15 10:25
-
找OEP应该是容易的吧~~~?
OD载入DLL~~~不跟,直接Ctrl+S,输入
xchg ah,al
rol eax,10
xchg ah,al
add eax,esi
查找->
代码比如:--------------------------------------------------------------------------------
003D15FD 86C4 xchg ah,al
003D15FF C1C0 10 rol eax,10
003D1602 86C4 xchg ah,al
003D1604 01F0 add eax,esi
--------------------------------------------------------------------------------
继续Ctrl+F,输入
POPAD
查找->
代码比如:--------------------------------------------------------------------------------
003D1617 61 popad
003D1618 - E9 AF15FFFF jmp npcipher.003C2BCC
003D161D 0000 add byte ptr ds:[eax],al
--------------------------------------------------------------------------------
好,到003D1617,F2下断,F9运行,F7单跟,到jmp,继续F7
代码比如:--------------------------------------------------------------------------------
003C2BCC 55 push ebp
--------------------------------------------------------------------------------
OD插件直接脱,出现对话框:"无法访问内存",于是用用LordPE选中Ollydbg的loaddll.exe的进程,在下面的列表里选择自己的调试dll,然后完整脱壳,得到dumped.dll.
请问各位高手,这样脱出来的DLL方法是对的吗???
OD不是比任何DUMP工具有更大的权限吗?怎么要用LordPE来脱呢???
但是LordPE脱出来的DLL,是没用的啊?
一:得不到输入表;二:重定位表修复 + PE修正,这一步就没必要做了吧
本人是新新手啊,希望各位不要
哦~~~~~~~
OD载入DLL~~~不跟,直接Ctrl+S,输入
xchg ah,al
rol eax,10
xchg ah,al
add eax,esi
查找->
代码比如:--------------------------------------------------------------------------------
003D15FD 86C4 xchg ah,al
003D15FF C1C0 10 rol eax,10
003D1602 86C4 xchg ah,al
003D1604 01F0 add eax,esi
--------------------------------------------------------------------------------
继续Ctrl+F,输入
POPAD
查找->
代码比如:--------------------------------------------------------------------------------
003D1617 61 popad
003D1618 - E9 AF15FFFF jmp npcipher.003C2BCC
003D161D 0000 add byte ptr ds:[eax],al
--------------------------------------------------------------------------------
好,到003D1617,F2下断,F9运行,F7单跟,到jmp,继续F7
代码比如:--------------------------------------------------------------------------------
003C2BCC 55 push ebp
--------------------------------------------------------------------------------
OD插件直接脱,出现对话框:"无法访问内存",于是用用LordPE选中Ollydbg的loaddll.exe的进程,在下面的列表里选择自己的调试dll,然后完整脱壳,得到dumped.dll.
请问各位高手,这样脱出来的DLL方法是对的吗???
OD不是比任何DUMP工具有更大的权限吗?怎么要用LordPE来脱呢???
但是LordPE脱出来的DLL,是没用的啊?
一:得不到输入表;二:重定位表修复 + PE修正,这一步就没必要做了吧
本人是新新手啊,希望各位不要
哦~~~~~~~
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
