[分享]ReloX 重定位表修? (?文)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]ReloX 重定位表修? (?文)

发表于: 2006-10-7 19:54 14706

[分享]ReloX 重定位表修? (?文)

djpvd

2006-10-7 19:54

14706

需準備的工具: Dll LoadEx、LordPE、ReloX
如 load.dll 為加密文件區段如下

將 load.dll 脫殼 Dump 到另一處命名為 unpack.dll (可隨意命名)
然後將未脫殼的load.dll在複製一份如圖

用Dll LoadEx載入未加殼的文件(這裡指load.dll與copy-load.dll)

不要關閉Dll LoadEx
然後開啟 LordPE 在上面的窗口點選Dll LoadEx的圖示在看到下面窗口看剛剛載入的兩個load.dll與copy-load.dll

這時候看到的 load.dll的ImageBase為10000000
copy -load.dll的ImageBase為01C70000
然後在 LordPE 上面將 load.dll 選擇 dump full 為 01.dll 將 copy-load.dll dump 為02.dll

不要關閉 LordPE
接著開啟 ReloX 將剛剛Dump的01.dll與02.dll分別載入再右邊的框框填入剛剛在 LordPE 上看到的ImageBase

然後按下 Selsct sections 選擇要重定位的區段這裡選第一個區段 (後有說明-->註)

接著按下Compare 比較窗口會彈出重定位表最後按下Fix PE Module 來修復已脫殼
Dump後的文件 unpack.dll 會出現一個新的_unpack.dll 這個就是已修復重定位的文件

用 LordPE 打開來看已修復的文件重定位表的區段為.reloc
ReloX 修復完成後 Dll LoadEx、LordPE 才可關閉
註:
在脫殼的過程Dump下來已經知道第一個區段裡面為 .text .rdata .data 的合併區段修復重定位主要就選擇這3個區段
許多加殼的文件會將這三個區段合併為一個區段
所以在Dump後要完美修復必須找出這三個區段手工修復其實沒修復為一個合併區段的状态也無訪

[课程]FART 脱壳王！加量不加价！FART作者讲授！

最后于 2020-2-7 12:01 被kanxue编辑，原因：

收藏・1

免费・7

支持

最新回复 (16)
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 2 楼发个文件让大家也练习练习~~ 2006-10-8 19:43 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 3 楼下蒌 DLL.rar ?有??文件 http://www.sendspace.com/file/lc9xxu PEtite2.x.dll 是原始加?文件 OD蒌入 He EIP Shift+F9 取消?? F8 到OEP Dump 修?~ unpack.dll 是我??後完美修?的文件比蒉一下吧 2006-10-8 21:57 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 4 楼谢谢演示，这个工具很早前就下过，说明看了几遍，如何操作还是模棱两可。图解的就是易懂。 2006-10-8 22:31 0
daxia200N 雪币： 690 活跃值： (1821) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 5 楼不错，学习了 2006-10-9 09:42 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 6 楼 fly有个演示和这个一样，是修复arm的 2006-10-9 11:04 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 7 楼谢谢分享,下载收藏备用. 2006-10-9 17:51 0
xingbing 雪币： 175 活跃值： (2331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 8 楼图文并茂，学习 2006-10-10 10:38 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 9 楼不错，学习学习 2006-10-10 15:59 0
风再起时雪币： 106 活跃值： (255) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 79 粉丝 0 关注私信	风再起时 10 楼路过支持下~ 2006-10-11 10:26 0
haishi 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	haishi 11 楼最初由 cxlrb* 发布* fly有个演示和这个一样，是修复arm的的确是这样的，而且fly的图文更详细。这样的帖子也加精，难道是因为楼主用的是繁体字？ 2006-10-11 12:25 0
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 12 楼太好了，这个软件以前一直不太会用，现在学习了，谢谢！不过，楼主提供的http://www.sendspace.com/file/lc9xxu这个地址中的文件下载不了，本来我也想练习一下，能否另外提供一个有效地址 2006-10-24 12:01 0
chenpei 雪币： 2165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	chenpei 13 楼入门级的学者需要这样的详细教程，每一个字给初学者来都重要，对于能者来说，省去很多都没问题。支持，支持详细图文教程，甚至视频更好。让更好的初学者的学习更进一步，谢谢所有贡献者。 2006-11-25 21:34 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 14 楼收藏学习了,谢谢 2006-11-25 22:34 0
边城浪子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	边城浪子 15 楼不错，收了，谢谢 2006-11-26 00:17 0
kxxf 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	kxxf 16 楼最初由 cxlrb* 发布* fly有个演示和这个一样，是修复arm的想看看,没找到 2006-11-26 16:18 0
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 17 楼加精这好文 2006-11-27 09:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

djpvd

133

发帖

447

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 2 楼发个文件让大家也练习练习~~ 2006-10-8 19:43 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 3 楼下蒌 DLL.rar ?有??文件 http://www.sendspace.com/file/lc9xxu PEtite2.x.dll 是原始加?文件 OD蒌入 He EIP Shift+F9 取消?? F8 到OEP Dump 修?~ unpack.dll 是我??後完美修?的文件比蒉一下吧 2006-10-8 21:57 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 4 楼谢谢演示，这个工具很早前就下过，说明看了几遍，如何操作还是模棱两可。图解的就是易懂。 2006-10-8 22:31 0
daxia200N 雪币： 690 活跃值： (1821) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 5 楼不错，学习了 2006-10-9 09:42 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 6 楼 fly有个演示和这个一样，是修复arm的 2006-10-9 11:04 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 7 楼谢谢分享,下载收藏备用. 2006-10-9 17:51 0
xingbing 雪币： 175 活跃值： (2331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 8 楼图文并茂，学习 2006-10-10 10:38 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 9 楼不错，学习学习 2006-10-10 15:59 0
风再起时雪币： 106 活跃值： (255) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 79 粉丝 0 关注私信	风再起时 10 楼路过支持下~ 2006-10-11 10:26 0
haishi 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	haishi 11 楼最初由 cxlrb* 发布* fly有个演示和这个一样，是修复arm的的确是这样的，而且fly的图文更详细。这样的帖子也加精，难道是因为楼主用的是繁体字？ 2006-10-11 12:25 0
破浪雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 301 粉丝 0 关注私信	破浪 12 楼太好了，这个软件以前一直不太会用，现在学习了，谢谢！不过，楼主提供的http://www.sendspace.com/file/lc9xxu这个地址中的文件下载不了，本来我也想练习一下，能否另外提供一个有效地址 2006-10-24 12:01 0
chenpei 雪币： 2165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	chenpei 13 楼入门级的学者需要这样的详细教程，每一个字给初学者来都重要，对于能者来说，省去很多都没问题。支持，支持详细图文教程，甚至视频更好。让更好的初学者的学习更进一步，谢谢所有贡献者。 2006-11-25 21:34 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 14 楼收藏学习了,谢谢 2006-11-25 22:34 0
边城浪子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	边城浪子 15 楼不错，收了，谢谢 2006-11-26 00:17 0
kxxf 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	kxxf 16 楼最初由 cxlrb* 发布* fly有个演示和这个一样，是修复arm的想看看,没找到 2006-11-26 16:18 0
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 17 楼加精这好文 2006-11-27 09:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复