:D 这年头外挂真被关注！:D

从主程序切入到DLL里面去

最初由 WiNrOOt 发布
:D 这年头外挂真被关注！:D

呵呵，我倒不是要破解外挂，只是脱壳练练手而已~！

何况我也没能力破解~！

最初由 kimmal 发布
从主程序切入到DLL里面去

谢谢，呆会试试~！

OEP: 0001E3E8       
IATRVA: 00037000       
IATSize: 00000500

重定位表：
RVA ＝0011F000
Size＝4B48

最初由 fly 发布
OEP: 0001E3E8
IATRVA: 00037000
IATSize: 00000500


........

先谢谢fly大哥~!

其实这些数据并不是最重要的，fly大哥能教教怎么脱吗？还有如何过那个异常找OEP和Majic Jump呢？

脱壳方法相同

可以试试用DLL_Loader.exe加载

照着教程再试了一下，当中断在这里时

0006AB84   009904EF  返回到 009904EF 来自 kernel32.GetModuleHandleA
0006AB88   009A2D40  ASCII "kernel32.dll"
0006AB8C   009A3F24  ASCII "VirtualFree"
再F9就会出现“堆栈溢值”的异常，Shift过了后就到了这里
0006EAD0   00999957  返回到 00999957 来自 kernel32.GetModuleHandleA

到不了Majic Jump的地方，后面的重定位的地方也断不了。
最后就会出现这样的错误~！

上面已经说了，试试用DLL_Loader.exe加载
而不是OD直接加载

谢谢fly大哥~！

还有一个疑问，加载后是否用OD attach呢？

不用！
直接就加载了！
然后慢慢的，轻轻的.....就进去了:D

最初由 WiNrOOt 发布
不用！
直接就加载了！
然后慢慢的，轻轻的.....就进去了:D

呵呵，找不到方法~！

以前脱这个壳时是从主程序切入的，
从主程序切入时在我这里代码不重定位，
用DLL_Loader加载代码会重定位。

OD加载DLL_Loader.exe，DLL_Loader.exe运行后加载dll

最初由 kimmal 发布
以前脱这个壳时是从主程序切入的，
从主程序切入时在我这里代码不重定位，
用DLL_Loader加载代码会重定位。

关掉QQ再用DLL_Loader试试  ;)

谢谢fly大哥和kimmal的回复

又学到一种脱壳的方法了~！

顺便问下，从主程序怎么切入~！

谢谢fly大哥的指点，我终于搞定这个DLL了~！

呵呵，不好意思，还有一点问题~！
fly大哥得到的重定位：RVA=0011F000  SIZE=00004B48
而我得到的是：RVA=0011E000  SIZE=00004B14
奇怪的是我用这两个数据都能运行原程序，而脱了壳的原程序却运行不起来（原程序也是ARM的壳），这是为何？
还有在用fly大哥找重定位数据的方法的时候，发现重定位处理的地址是变的，有时候能断下来，有时候不能断下来，这又是为何？
请高手解释一下~！先谢谢~！

第一次找到的重定位地址：
00F0634B    8B00            mov eax, dword ptr ds:[eax]  
00F0634D    8985 40D8FFFF   mov dword ptr ss:[ebp-27C0], eax
00F06353    A1 80C5F100     mov eax, dword ptr ds:[F1C580]
00F06358    83C0 04         add eax, 4
00F0635B    A3 80C5F100     mov dword ptr ds:[F1C580], eax
00F06360    A1 80C5F100     mov eax, dword ptr ds:[F1C580]
00F06365    8B00            mov eax, dword ptr ds:[eax]
00F06367    8985 78D8FFFF   mov dword ptr ss:[ebp-2788], eax
00F0636D    A1 80C5F100     mov eax, dword ptr ds:[F1C580]
00F06372    83C0 04         add eax, 4
00F06375    A3 80C5F100     mov dword ptr ds:[F1C580], eax
00F0637A    83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0
00F06381    74 6F           je short 00F063F2
00F06383    83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0
00F0638A    74 66           je short 00F063F2
00F0638C    8B85 04D7FFFF   mov eax, dword ptr ss:[ebp-28FC]
00F06392    8B8D 14D7FFFF   mov ecx, dword ptr ss:[ebp-28EC]
00F06398    3B48 34         cmp ecx, dword ptr ds:[eax+34]           ; Easymir1.10000000

               

第二次找到的：
    0131634B    8B00            mov eax, dword ptr ds:[eax]
0131634D    8985 40D8FFFF   mov dword ptr ss:[ebp-27C0], eax
01316353    A1 80C53201     mov eax, dword ptr ds:[132C580]
01316358    83C0 04         add eax, 4
0131635B    A3 80C53201     mov dword ptr ds:[132C580], eax
01316360    A1 80C53201     mov eax, dword ptr ds:[132C580]
01316365    8B00            mov eax, dword ptr ds:[eax]
01316367    8985 78D8FFFF   mov dword ptr ss:[ebp-2788], eax
0131636D    A1 80C53201     mov eax, dword ptr ds:[132C580]
01316372    83C0 04         add eax, 4
01316375    A3 80C53201     mov dword ptr ds:[132C580], eax
0131637A    83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0
01316381    74 6F           je short 013163F2
01316383    83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0
0131638A    74 66           je short 013163F2
0131638C    8B85 04D7FFFF   mov eax, dword ptr ss:[ebp-28FC]
01316392    8B8D 14D7FFFF   mov ecx, dword ptr ss:[ebp-28EC]
01316398    3B48 34         cmp ecx, dword ptr ds:[eax+34]           ; Easymir1.10000000

想知道这是什么原因，先顶一下~！
版主手下留情~1

谢谢~！

还是dll？
重定位数据应该是相同的
某些时候dll无须重定位，所以能运行，你同时加载几次试试

BTW:这个东东原先是其他壳，让人脱了后又重新加壳

有没有工具可以实现在把用SOFT-ICE调试的过程录下来啊？

我调试DLL的壳也出现了问题啊。
为什么不能用LORD PE 在DLL开始INT3，提示加载失败。

以前看过！