-
-
脱加了upx变形壳的vb dll的若干问题
-
发表于:
2006-3-30 15:02
4290
-
读了fly的《用Ollydbg手脱UPX加壳的DLL》 自己也尝试着做,查找特征,下断,找到OEP,用lordPE dump,都很顺利。
接下来修正IAT开始不一样了:
fly的大作中,是手动寻找api函数,确定IAT的范围。而VB函数没有API,是通过msvbvm60.dll msvbvm50.dll等解释执行的,而这些dll的调用可以看成是IAT,手动找了几次都出错,无奈找出了ImportREC v1.6 用它的“IAT autosearch”非常方便的定位了该dll的IAT,不用管RVA和size直接“get image”“fix”就ok了。
问题来了:只是修复了IAT,该dll文件就可以用了,测试一切正常,只是拿到别的机器上,就不能执行了。这是怎么回事啊fly
我试着按照《ReloX修复DLL脱壳重定位表的简便方法――用Ollydbg手脱Neolite加壳的DLL》文中的方法,两个dll的差别为0,relox根本没法修复重定位。
fly 能不能给个例子,说明一下vb之类程序,dll输入表的查找啊?
还有,为什么我脱壳的dll,不修复重定位也能正常工作啊。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
