-
-
请问vmp加壳的dll脱壳instruct reg,ds:[xxxxxxx]如何修复
-
发表于:
2023-8-24 22:48
4991
-
请问vmp加壳的dll脱壳instruct reg,ds:[xxxxxxx]如何修复
dll文件脱壳后,IAT修复完成,但是代码中存留很多instruct reg,ds:[xxxxxxx]类型的指令。例如:
1 2 3 4 5 6 7 8 9 10 | 100723A0 |. /75 09 jnz short OT_G.100723AB
100723A2 |. |833D 9C981810>cmp dword ptr ds:[0x1018989C],0x0
100723A9 |. |EB 26 jmp short OT_G.100723D1
100723AB |> \83FE 01 cmp esi,0x1
100723AE |. 74 05 je short OT_G.100723B5
100723B0 |. 83FE 02 cmp esi,0x2
100723B3 |. 75 22 jnz short OT_G.100723D7
100723B5 |> A1 28D21810 mov eax,dword ptr ds:[0x1018D228]
100723BA |. 85C0 test eax,eax ; OT_G.10000000
100723BC |. 74 09 je short OT_G.100723C7
|
cmp dword ptr ds:[0x1018989C],0x0
mov eax,dword ptr ds:[0x1018D228]
因dll重定位原因,实际加载时,dll基址不为10000000。类似于上面的绝对编码不发生改变,导致DLL加载不成功,请问如何修复。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2023-8-24 22:50
被xiaozi编辑
,原因:
