脱ARM的DLL时遇到的问题~！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

脱ARM的DLL时遇到的问题~！

发表于: 2004-10-10 21:30 6600

脱ARM的DLL时遇到的问题~！

yeyu0808

2004-10-10 21:30

6600

按照fly大哥的方法脱ARM的壳时，并不能到达Magic Jump，而总是会出现“堆栈溢值”的异常，但在此时却能够得到IAT（不是很确定），这是为何？又如何到达OEP？还有IAT的RVA在这个DLL中如何计算（我用lordpe得到的基址是10000000）？

望高手指点~！

另附上DLL~!
附件:Easy.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

免费・1

支持

最新回复 (24)
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 2 楼 :D 这年头外挂真被关注！:D 2004-10-10 22:17 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 3 楼从主程序切入到DLL里面去 2004-10-10 22:37 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 4 楼最初由 WiNrOOt 发布 :D 这年头外挂真被关注！:D 呵呵，我倒不是要破解外挂，只是脱壳练练手而已~！何况我也没能力破解~！ 2004-10-10 23:39 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 5 楼最初由 kimmal 发布从主程序切入到DLL里面去谢谢，呆会试试~！ 2004-10-10 23:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 OEP: 0001E3E8 IATRVA: 00037000 IATSize: 00000500 重定位表： RVA ＝0011F000 Size＝4B48 2004-10-11 00:25 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 7 楼最初由 fly 发布 OEP: 0001E3E8 IATRVA: 00037000 IATSize: 00000500 ........ 先谢谢fly大哥~! 其实这些数据并不是最重要的，fly大哥能教教怎么脱吗？还有如何过那个异常找OEP和Majic Jump呢？ 2004-10-11 12:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼脱壳方法相同 2004-10-11 12:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼可以试试用DLL_Loader.exe加载 2004-10-11 13:22 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 10 楼照着教程再试了一下，当中断在这里时 0006AB84 009904EF 返回到 009904EF 来自 kernel32.GetModuleHandleA 0006AB88 009A2D40 ASCII "kernel32.dll" 0006AB8C 009A3F24 ASCII "VirtualFree" 再F9就会出现“堆栈溢值”的异常，Shift过了后就到了这里 0006EAD0 00999957 返回到 00999957 来自 kernel32.GetModuleHandleA 到不了Majic Jump的地方，后面的重定位的地方也断不了。最后就会出现这样的错误~！ 2004-10-11 13:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼上面已经说了，试试用DLL_Loader.exe加载而不是OD直接加载 2004-10-11 16:18 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 12 楼谢谢fly大哥~！还有一个疑问，加载后是否用OD attach呢？ 2004-10-11 18:59 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 13 楼不用！直接就加载了！然后慢慢的，轻轻的.....就进去了:D 2004-10-11 19:29 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 14 楼最初由 WiNrOOt 发布不用！直接就加载了！然后慢慢的，轻轻的.....就进去了:D 呵呵，找不到方法~！ 2004-10-11 19:37 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 15 楼以前脱这个壳时是从主程序切入的，从主程序切入时在我这里代码不重定位，用DLL_Loader加载代码会重定位。 2004-10-11 20:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 OD加载DLL_Loader.exe，DLL_Loader.exe运行后加载dll 2004-10-11 20:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼最初由 kimmal 发布以前脱这个壳时是从主程序切入的，从主程序切入时在我这里代码不重定位，用DLL_Loader加载代码会重定位。关掉QQ再用DLL_Loader试试 ;) 2004-10-11 20:07 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 18 楼谢谢fly大哥和kimmal的回复又学到一种脱壳的方法了~！顺便问下，从主程序怎么切入~！ 2004-10-11 20:22 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 19 楼谢谢fly大哥的指点，我终于搞定这个DLL了~！ 2004-10-11 20:56 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 20 楼呵呵，不好意思，还有一点问题~！ fly大哥得到的重定位：RVA=0011F000 SIZE=00004B48 而我得到的是：RVA=0011E000 SIZE=00004B14 奇怪的是我用这两个数据都能运行原程序，而脱了壳的原程序却运行不起来（原程序也是ARM的壳），这是为何？还有在用fly大哥找重定位数据的方法的时候，发现重定位处理的地址是变的，有时候能断下来，有时候不能断下来，这又是为何？请高手解释一下~！先谢谢~！第一次找到的重定位地址： 00F0634B 8B00 mov eax, dword ptr ds:[eax] 00F0634D 8985 40D8FFFF mov dword ptr ss:[ebp-27C0], eax 00F06353 A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06358 83C0 04 add eax, 4 00F0635B A3 80C5F100 mov dword ptr ds:[F1C580], eax 00F06360 A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06365 8B00 mov eax, dword ptr ds:[eax] 00F06367 8985 78D8FFFF mov dword ptr ss:[ebp-2788], eax 00F0636D A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06372 83C0 04 add eax, 4 00F06375 A3 80C5F100 mov dword ptr ds:[F1C580], eax 00F0637A 83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0 00F06381 74 6F je short 00F063F2 00F06383 83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0 00F0638A 74 66 je short 00F063F2 00F0638C 8B85 04D7FFFF mov eax, dword ptr ss:[ebp-28FC] 00F06392 8B8D 14D7FFFF mov ecx, dword ptr ss:[ebp-28EC] 00F06398 3B48 34 cmp ecx, dword ptr ds:[eax+34] ; Easymir1.10000000 第二次找到的： 0131634B 8B00 mov eax, dword ptr ds:[eax] 0131634D 8985 40D8FFFF mov dword ptr ss:[ebp-27C0], eax 01316353 A1 80C53201 mov eax, dword ptr ds:[132C580] 01316358 83C0 04 add eax, 4 0131635B A3 80C53201 mov dword ptr ds:[132C580], eax 01316360 A1 80C53201 mov eax, dword ptr ds:[132C580] 01316365 8B00 mov eax, dword ptr ds:[eax] 01316367 8985 78D8FFFF mov dword ptr ss:[ebp-2788], eax 0131636D A1 80C53201 mov eax, dword ptr ds:[132C580] 01316372 83C0 04 add eax, 4 01316375 A3 80C53201 mov dword ptr ds:[132C580], eax 0131637A 83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0 01316381 74 6F je short 013163F2 01316383 83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0 0131638A 74 66 je short 013163F2 0131638C 8B85 04D7FFFF mov eax, dword ptr ss:[ebp-28FC] 01316392 8B8D 14D7FFFF mov ecx, dword ptr ss:[ebp-28EC] 01316398 3B48 34 cmp ecx, dword ptr ds:[eax+34] ; Easymir1.10000000 2004-10-11 21:28 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 21 楼想知道这是什么原因，先顶一下~！版主手下留情~1 谢谢~！ 2004-10-11 23:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼还是dll？重定位数据应该是相同的某些时候dll无须重定位，所以能运行，你同时加载几次试试 BTW:这个东东原先是其他壳，让人脱了后又重新加壳 2004-10-11 23:56 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 23 楼有没有工具可以实现在把用SOFT-ICE调试的过程录下来啊？ 2004-10-12 18:44 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 24 楼我调试DLL的壳也出现了问题啊。为什么不能用LORD PE 在DLL开始INT3，提示加载失败。 2004-10-12 18:46 0
DanielDuan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	DanielDuan 25 楼以前看过！ 2004-10-13 19:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yeyu0808

发帖

133

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 2 楼 :D 这年头外挂真被关注！:D 2004-10-10 22:17 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 3 楼从主程序切入到DLL里面去 2004-10-10 22:37 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 4 楼最初由 WiNrOOt 发布 :D 这年头外挂真被关注！:D 呵呵，我倒不是要破解外挂，只是脱壳练练手而已~！何况我也没能力破解~！ 2004-10-10 23:39 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 5 楼最初由 kimmal 发布从主程序切入到DLL里面去谢谢，呆会试试~！ 2004-10-10 23:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 OEP: 0001E3E8 IATRVA: 00037000 IATSize: 00000500 重定位表： RVA ＝0011F000 Size＝4B48 2004-10-11 00:25 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 7 楼最初由 fly 发布 OEP: 0001E3E8 IATRVA: 00037000 IATSize: 00000500 ........ 先谢谢fly大哥~! 其实这些数据并不是最重要的，fly大哥能教教怎么脱吗？还有如何过那个异常找OEP和Majic Jump呢？ 2004-10-11 12:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼脱壳方法相同 2004-10-11 12:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼可以试试用DLL_Loader.exe加载 2004-10-11 13:22 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 10 楼照着教程再试了一下，当中断在这里时 0006AB84 009904EF 返回到 009904EF 来自 kernel32.GetModuleHandleA 0006AB88 009A2D40 ASCII "kernel32.dll" 0006AB8C 009A3F24 ASCII "VirtualFree" 再F9就会出现“堆栈溢值”的异常，Shift过了后就到了这里 0006EAD0 00999957 返回到 00999957 来自 kernel32.GetModuleHandleA 到不了Majic Jump的地方，后面的重定位的地方也断不了。最后就会出现这样的错误~！ 2004-10-11 13:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼上面已经说了，试试用DLL_Loader.exe加载而不是OD直接加载 2004-10-11 16:18 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 12 楼谢谢fly大哥~！还有一个疑问，加载后是否用OD attach呢？ 2004-10-11 18:59 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 13 楼不用！直接就加载了！然后慢慢的，轻轻的.....就进去了:D 2004-10-11 19:29 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 14 楼最初由 WiNrOOt 发布不用！直接就加载了！然后慢慢的，轻轻的.....就进去了:D 呵呵，找不到方法~！ 2004-10-11 19:37 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 15 楼以前脱这个壳时是从主程序切入的，从主程序切入时在我这里代码不重定位，用DLL_Loader加载代码会重定位。 2004-10-11 20:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 OD加载DLL_Loader.exe，DLL_Loader.exe运行后加载dll 2004-10-11 20:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼最初由 kimmal 发布以前脱这个壳时是从主程序切入的，从主程序切入时在我这里代码不重定位，用DLL_Loader加载代码会重定位。关掉QQ再用DLL_Loader试试 ;) 2004-10-11 20:07 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 18 楼谢谢fly大哥和kimmal的回复又学到一种脱壳的方法了~！顺便问下，从主程序怎么切入~！ 2004-10-11 20:22 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 19 楼谢谢fly大哥的指点，我终于搞定这个DLL了~！ 2004-10-11 20:56 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 20 楼呵呵，不好意思，还有一点问题~！ fly大哥得到的重定位：RVA=0011F000 SIZE=00004B48 而我得到的是：RVA=0011E000 SIZE=00004B14 奇怪的是我用这两个数据都能运行原程序，而脱了壳的原程序却运行不起来（原程序也是ARM的壳），这是为何？还有在用fly大哥找重定位数据的方法的时候，发现重定位处理的地址是变的，有时候能断下来，有时候不能断下来，这又是为何？请高手解释一下~！先谢谢~！第一次找到的重定位地址： 00F0634B 8B00 mov eax, dword ptr ds:[eax] 00F0634D 8985 40D8FFFF mov dword ptr ss:[ebp-27C0], eax 00F06353 A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06358 83C0 04 add eax, 4 00F0635B A3 80C5F100 mov dword ptr ds:[F1C580], eax 00F06360 A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06365 8B00 mov eax, dword ptr ds:[eax] 00F06367 8985 78D8FFFF mov dword ptr ss:[ebp-2788], eax 00F0636D A1 80C5F100 mov eax, dword ptr ds:[F1C580] 00F06372 83C0 04 add eax, 4 00F06375 A3 80C5F100 mov dword ptr ds:[F1C580], eax 00F0637A 83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0 00F06381 74 6F je short 00F063F2 00F06383 83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0 00F0638A 74 66 je short 00F063F2 00F0638C 8B85 04D7FFFF mov eax, dword ptr ss:[ebp-28FC] 00F06392 8B8D 14D7FFFF mov ecx, dword ptr ss:[ebp-28EC] 00F06398 3B48 34 cmp ecx, dword ptr ds:[eax+34] ; Easymir1.10000000 第二次找到的： 0131634B 8B00 mov eax, dword ptr ds:[eax] 0131634D 8985 40D8FFFF mov dword ptr ss:[ebp-27C0], eax 01316353 A1 80C53201 mov eax, dword ptr ds:[132C580] 01316358 83C0 04 add eax, 4 0131635B A3 80C53201 mov dword ptr ds:[132C580], eax 01316360 A1 80C53201 mov eax, dword ptr ds:[132C580] 01316365 8B00 mov eax, dword ptr ds:[eax] 01316367 8985 78D8FFFF mov dword ptr ss:[ebp-2788], eax 0131636D A1 80C53201 mov eax, dword ptr ds:[132C580] 01316372 83C0 04 add eax, 4 01316375 A3 80C53201 mov dword ptr ds:[132C580], eax 0131637A 83BD 40D8FFFF 0>cmp dword ptr ss:[ebp-27C0], 0 01316381 74 6F je short 013163F2 01316383 83BD 78D8FFFF 0>cmp dword ptr ss:[ebp-2788], 0 0131638A 74 66 je short 013163F2 0131638C 8B85 04D7FFFF mov eax, dword ptr ss:[ebp-28FC] 01316392 8B8D 14D7FFFF mov ecx, dword ptr ss:[ebp-28EC] 01316398 3B48 34 cmp ecx, dword ptr ds:[eax+34] ; Easymir1.10000000 2004-10-11 21:28 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 21 楼想知道这是什么原因，先顶一下~！版主手下留情~1 谢谢~！ 2004-10-11 23:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼还是dll？重定位数据应该是相同的某些时候dll无须重定位，所以能运行，你同时加载几次试试 BTW:这个东东原先是其他壳，让人脱了后又重新加壳 2004-10-11 23:56 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 23 楼有没有工具可以实现在把用SOFT-ICE调试的过程录下来啊？ 2004-10-12 18:44 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 24 楼我调试DLL的壳也出现了问题啊。为什么不能用LORD PE 在DLL开始INT3，提示加载失败。 2004-10-12 18:46 0
DanielDuan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	DanielDuan 25 楼以前看过！ 2004-10-13 19:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复