-
-
有关reloX的使用
-
发表于:
2006-4-25 08:33
4814
-
reloX的使用 看了您写的例子还是不会,主要是
http://bbs.pediy.com/showthread.php?s=&threadid=8819 的这段话
老大能抽空 把http://bbs.pediy.com/showthread.php?s=&threadid=1484
也用relox修复一下吗? 站上除了您这篇,就没有其他relox的例文了,很明显,大家都没明白嘛,嘻嘻。
―――――――――――――――――――――――――――――――――
四、PE修正
用LordPE修正dumped.dll的OEP RVA=000011C9,Import Table RVA=0000442C,IAT RVA可以清零。
删除Oreloc、.neolit、.reloc三个区段,用WinHex移除00006000至末尾的壳数据。
输出表没有加密,可以用LordPE来察看。RVA=000070A2 Size=6D
WinHex打开EdrLib.dll,把偏移0X10A2处的06D字节复制出来;在dumped.dll中找一点空地,把其挪至4900处吧
修正dumped.dll的Export Table RVA=00004900,Size一样。
当然要修正相关数据了:
->Export Table
Characteristics: 0x00000000
TimeDateStamp: 0x3DC70847 (GMT: Mon Nov 04 23:52:39 2002)
MajorVersion: 0x0000
MinorVersion: 0x0000 -> 0.00
Name: 0x000070DE ("EdrLib.dll") ==>修改为:0x0000493C
Base: 0x00000001
NumberOfFunctions: 0x00000002
NumberOfNames: 0x00000002
AddressOfFunctions: 0x000070CA ==>修改为:0x00004928
AddressOfNames: 0x000070D2 ==>修改为:0x00004930
AddressOfNameOrdinals: 0x000070DA ==>修改为:0x00004938
Ordinal RVA Symbol Name
------- ---------- ----------------------------------
0x0001 0x00001010 "_EdrCenterTextA@12"
0x0002 0x00001080 "_EdrCenterTextW@12""
可以直接用WinHex修改:
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F //原来的输出表
000010A0 00 00 00 00 47 08 C7 3D 00 00 00 00 DE 70 ....G.?....摒
000010B0 00 00 01 00 00 00 02 00 00 00 02 00 00 00 CA 70 ..............署
000010C0 00 00 D2 70 00 00 DA 70 00 00 10 10 00 00 80 10 ..茵..陴......?
000010D0 00 00 E9 70 00 00 FC 70 00 00 00 00 01 00 45 64 ..轲..?......Ed
000010E0 72 4C 69 62 2E 64 6C 6C 00 5F 45 64 72 43 65 6E rLib.dll._EdrCen
000010F0 74 65 72 54 65 78 74 41 40 31 32 00 5F 45 64 72 terTextA@12._Edr
00001100 43 65 6E 74 65 72 54 65 78 74 57 40 31 32 00 CenterTextW@12.
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F //修改的输出表
00004900 00 00 00 00 47 08 C7 3D 00 00 00 00 3C 49 00 00 ....G.?....<I..
00004910 01 00 00 00 02 00 00 00 02 00 00 00 28 49 00 00 ............(I..
00004920 30 49 00 00 38 49 00 00 10 10 00 00 80 10 00 00 0I..8I......?..
00004930 47 49 00 00 5A 49 00 00 00 00 01 00 45 64 72 4C GI..ZI......EdrL
00004940 69 62 2E 64 6C 6C 00 5F 45 64 72 43 65 6E 74 65 ib.dll._EdrCente
00004950 72 54 65 78 74 41 40 31 32 00 5F 45 64 72 43 65 rTextA@12._EdrCe
00004960 6E 74 65 72 54 65 78 74 57 40 31 32 00 nterTextW@12.
只保留LordPE的“Validate PE”选项,对dumped.dll重建PE。
―――――――――――――――――――――――――――――――――
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
