首页
社区
课程
招聘
[已解决]脱ASPack加壳的DLL,脱壳后修改异常。
发表于: 2007-7-14 21:04 5542

[已解决]脱ASPack加壳的DLL,脱壳后修改异常。

2007-7-14 21:04
5542
学习fly的教程"用Ollydbg手脱ASPack加壳的DLL",DLL脱壳后没有反应,请指点,谢谢!已试过脱壳机,均失败。

一、重定位表RVA + OEP


008EF1DC   /74 79           je      short 008EF257
008EF1DE   |8BC2            mov     eax, edx
008EF1E0   |C1E8 10         shr     eax, 10
008EF1E3   |33DB            xor     ebx, ebx
008EF1E5   |8BB5 39050000   mov     esi, dword ptr [ebp+539]         ; [ebp+539]=ss:[008EF54C]=00074000
008EF1EB   |03B5 22040000   add     esi, dword ptr [ebp+422]         ; ss:[008EF435]=00870000
008EF1F1   |833E 00         cmp     dword ptr [esi], 0               ; ESI=008E4000
008EF1F4   |74 61           je      short 008EF257
008EF1F6   |8B4E 04         mov     ecx, dword ptr [esi+4]
008EF1F9   |83E9 08         sub     ecx, 8
008EF1FC   |D1E9            shr     ecx, 1
008EF1FE   |8B3E            mov     edi, dword ptr [esi]
008EF200   |03BD 22040000   add     edi, dword ptr [ebp+422]
008EF206   |83C6 08         add     esi, 8
008EF209   |66:8B1E         mov     bx, word ptr [esi]
008EF20C   |C1EB 0C         shr     ebx, 0C
008EF20F   |83FB 01         cmp     ebx, 1
008EF212   |74 0C           je      short 008EF220
008EF214   |83FB 02         cmp     ebx, 2
008EF217   |74 16           je      short 008EF22F
008EF219   |83FB 03         cmp     ebx, 3
008EF21C   |74 20           je      short 008EF23E
008EF21E   |EB 2C           jmp     short 008EF24C
008EF220   |66:8B1E         mov     bx, word ptr [esi]
008EF223   |81E3 FF0F0000   and     ebx, 0FFF
008EF229   |66:01041F       add     word ptr [edi+ebx], ax
008EF22D   |EB 1D           jmp     short 008EF24C
008EF22F   |66:8B1E         mov     bx, word ptr [esi]
008EF232   |81E3 FF0F0000   and     ebx, 0FFF
008EF238   |66:01141F       add     word ptr [edi+ebx], dx
008EF23C   |EB 0E           jmp     short 008EF24C
008EF23E   |66:8B1E         mov     bx, word ptr [esi]
008EF241   |81E3 FF0F0000   and     ebx, 0FFF
008EF247   |01141F          add     dword ptr [edi+ebx], edx
008EF24A   |EB 00           jmp     short 008EF24C
008EF24C   |66:830E FF      or      word ptr [esi], 0FFFF
008EF250   |83C6 02         add     esi, 2
008EF253  ^|E2 B4           loopd   short 008EF209
008EF255  ^|EB 9A           jmp     short 008EF1F1
008EF257   \8B95 22040000   mov     edx, dword ptr [ebp+422]         ; ESI=008EA45C
008EF25D    8BB5 41050000   mov     esi, dword ptr [ebp+541]
008EF263    0BF6            or      esi, esi




得到重定位表信息:
RVA=00074000,大小=008EA45C-008E4000=645C

OEP:

08D7710    55              push    ebp                              ; OEP
008D7711    8BEC            mov     ebp, esp
008D7713    83C4 C4         add     esp, -3C



OEP=008D7710 -00870000=67710

二、输入表 + PE修正

008E0154  7C93188A  ntdll.RtlDeleteCriticalSection

008E07A0  5D17BB5B  comctl32.ImageList_Create

开始地址=8E0154
结束地址=8E07A0

OEP:67710
RVA:70154 (8E0154-870000)
SIZE:64C  (8E07A0-8E0154)

1.请问上述操作是否有错?为什么我脱壳后调用没有反应呢?
在OD中运行程序,一修改脱壳后的DLL,就异常,请问是脱壳的问题还是DLL的校验问题?
如何判断DLL脱壳成功?
2.教程中“再用LordPE修正dumped_.dll的基址为003B0000,OK,脱壳完成啦。”
可是为什么我用LordPE查看教程附件中脱壳后的DLL基址为:00400000?
3.DLL脱壳后如何清除无用的区段?

请指点,谢谢!

是DLL有校验,已解决,谢谢!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 267
活跃值: (44)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
2
周末,人好少
顶一下,
2007-7-15 10:35
0
雪    币: 267
活跃值: (44)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
3
RVA:70154 (8E0154-870000)
SIZE:64C  (8E07A0-8E0154)
这里不对吗?能否说明是什么错?
谢谢!
2007-7-15 11:21
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
顶一下拉  大家加油
2007-7-16 00:57
0
游客
登录 | 注册 方可回帖
返回
//