首页
社区
课程
招聘
[求助]请教这是怎么回事?DLL已脱壳还是什么?
发表于: 2007-3-28 18:14 4178

[求助]请教这是怎么回事?DLL已脱壳还是什么?

2007-3-28 18:14
4178
用OD载入123.DLL,然后不管,就用LORDPE找OD 的LOADDLL,再找到调试的123.DLL DUMP出来了,发现DUMP出来的DLL变大了,原来的DLL的字符串一点都看不到,DUMP出来后字符串全看得到,用PEID查壳也没了,变成VB的了。是怎么回事?

原来DLL的是壳是ACProtect V1.3X-1.4X DLL -> risco *,
DUMP出来后的DLL显示为Microsoft Visual Basic 6.0 DLL(实际还有一层狗壳),但是入口点没变,还是之前的,用IDA反汇编发现,入口点的代码变了,
原来的DLL入口
114BC6EF >  807C24 08 01    CMP BYTE PTR SS:[ESP+8],1
114BC6F4  ^ 0F85 19FFFFFF   JNZ MSADO200.114BC613
114BC6FA  ^ E9 AFECFFFF     JMP MSADO200.114BB3AE
114BC6FF    90              NOP
114BC700    90              NOP
114BC701    90              NOP

IDA汇编DUMP出来的DLL
RCC1:111436EF                 int     3               ; Trap to Debugger (这里是入
RCC1:111436F0                 jl      short loc_11143716
RCC1:111436F0
RCC1:111436F2                 or      [ecx], al
RCC1:111436F4                 jnz     loc_11143613
RCC1:111436F4
RCC1:111436FA                 jmp     loc_111423AE

用OD载入就出错 "LOADDLL.EXE:UNABLE TO LOAD DLL"点确定之后就终止了,是怎么回事??
用LORDPE DUMP出来的DLL怎么修复成可以调试啊?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
怎么没人帮偶解释一下啊怎么回事啊?
2007-3-28 23:51
0
雪    币: 47147
活跃值: (20465)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
3
这时,加壳的DLL运行后,会将真实DLL数据解压到内存,你Dump就能看到相关字符和代码了。但这样的DLL不能运行,你还没修正输入表,重定位表等信息。
2007-3-29 09:35
0
游客
登录 | 注册 方可回帖
返回
//