[我找的OEP了,可是下一步不知道怎么作]PECompact加壳的DLL-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[我找的OEP了,可是下一步不知道怎么作]PECompact加壳的DLL

发表于: 2004-10-13 14:43 22323

[我找的OEP了,可是下一步不知道怎么作]PECompact加壳的DLL

great1234

2004-10-13 14:43

22323

10047000 R> /EB 06          jmp    short Reg.10047008
10047002 |68 BB070200    push 207BB
10047007 |C3             retn
10047008 \9C             pushfd
10047009    60             pushad

OEP:207bb

我用LoadPE完整Dump了,又用RECImport修正了"输入表",可是下来不知道怎么作了~~~~~~~

附件:sbc.rar

====================
是这样的,有几个问题需要请教大家!

1.找到OEP【207BB】之后是用LoadPE脱壳呢还是用ODBG自带的脱壳?

2.脱壳以后的修复,在ImportREC里,添入OEP【207BB】,接下来是【手工添入RVA,SIZE的值呢还是用IAT AutoSearch】?我看在这个问题上fly和simonzh2000 的两篇文章似乎不同!这个时候自动搜索出来的RVA=2B000,大小=194.

FLY的是用【运行ImportREC，选中Ollydbg的loaddll.exe的进程，然后点“选取DLL”，选择ftgg.dll，填入RVA＝0001B000、大小＝3A0、OEP=00009690 ，点“Get Import”。用PEditor纠正dumped.dll的DumpFixer，修正区块。FixDump！】
请问【用PEditor纠正dumped.dll的DumpFixer，修正区块。】是先用ImportREC修复dumped.dll呢?还是用PEdior纠正?具体怎么纠正??请老大详细说清楚此时的步骤!

3.重定位表修复的问题:
FLY的是找到开始和大小,然后用另外的工具再处理,然后再写回去.

而simonzh2000 的是直接修改原始DLL的代码.

此时RVA=43000,size=2734.

4,用LordPE修正dumped_.dll的重定位表RVA=00043000、大小＝00002734，保存之。【请问这个地方是LordPE->PE Editor->Relocation项中的RVA和Size吗?】

5,FLY的那篇文章里面时而用LordPE,时而用PEditor,请问这两者有什么不同吗??

以上问题请大家赐教!

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・4

免费・1

支持

最新回复 (24)
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2 楼看了fly版主的<用Ollydbg手脱PECompact加壳的DLL>,到了三、重定位表修复的地方卡住了,望大家支援一把 2004-10-13 14:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼基本上已经写的清楚了可以看simonzh写的相关教程 2004-10-13 17:23 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 4 楼感谢版主指教,我去找找看看!再次百忙之中为我回复感谢! ================== 再次打扰一下,请问simonzhde 的教程在哪里阿?可以告诉我地址吗? 2004-10-13 17:37 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 http://bbs.pediy.com/showthread.php?s=&threadid=3289 2004-10-13 20:32 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 6 楼是这样的,有几个问题需要请教大家! 1.找到OEP【207BB】之后是用LoadPE脱壳呢还是用ODBG自带的脱壳? 2.脱壳以后的修复,在ImportREC里,添入OEP【207BB】,接下来是【手工添入RVA,SIZE的值呢还是用IAT AutoSearch】?我看在这个问题上fly和simonzh2000 的两篇文章似乎不同!这个时候自动搜索出来的RVA=2B000,大小=194. FLY的是用【运行ImportREC，选中Ollydbg的loaddll.exe的进程，然后点“选取DLL”，选择ftgg.dll，填入RVA＝0001B000、大小＝3A0、OEP=00009690 ，点“Get Import”。用PEditor纠正dumped.dll的DumpFixer，修正区块。FixDump！】请问【用PEditor纠正dumped.dll的DumpFixer，修正区块。】是先用ImportREC修复dumped.dll呢?还是用PEdior纠正?具体怎么纠正??请老大详细说清楚此时的步骤! 3.重定位表修复的问题: FLY的是找到开始和大小,然后用另外的工具再处理,然后再写回去. 而simonzh2000 的是直接修改原始DLL的代码. 此时RVA=43000,size=2734. 4,用LordPE修正dumped_.dll的重定位表RVA=00043000、大小＝00002734，保存之。【请问这个地方是LordPE->PE Editor->Relocation项中的RVA和Size吗?】 5,FLY的那篇文章里面时而用LordPE,时而用PEditor,请问这两者有什么不同吗?? 以上问题请大家赐教! 2004-10-14 09:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼灵活运用 heXer 脱壳&去除自校验附件:test.rar 2004-10-14 12:59 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 8 楼大哥,我需要的是思想,而不是最后的结果,俗话说授人之鱼,不如授人之渔! 我需要的是大虾帮我分析脱壳的步骤,我折腾了48个小时了,中间就睡了6个小时! =================== BTW:FLY大哥带我操劳的这个脱壳DLL不能正确调用,所以我需要的是脱壳的步骤,再次感谢FLY!附件是我的测试这个dll的exe!附件:Test.rar 附件:Test.rar 2004-10-14 12:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼把10010530处的nop改为call 10019520试试某些时候无法运行是因为有检验自己跟踪 2004-10-14 13:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 1、都可以 2、dll一般手动设置AIT RVA和SIZE 3、用simonzh2000的方法比较好 4、yes 5、用哪个都行 6、看看我的UnPacked，某些时候看看别人的脱壳文件，逆向其思路 2004-10-14 13:05 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 11 楼 ok,我对我刚才的灌水行为进行自我批评! 另外,我找了很多的关于dll脱壳的文章,都是在关键的地方产生起义! 所以我要清楚我这一次脱壳的来龙去脉! ========================= 1.修改10010530处的call 10019520,我没有试验成功,运行还是出错 2.为什么要修改这里? 3.我想知道这个壳的完整脱法和原理. 2004-10-14 13:06 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 12 楼唉~~~~~~~~~~~~~~~又是一天浪费了! 2004-10-14 17:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼共享文件加密算法库？这个东东有检验自己调试吧 BTW：2篇脱壳教程已经比较清楚了，建议先从exe脱壳做起吧 --------------------------- Test.exe - 无法找到组件 --------------------------- 没有找到 MSVCRTD.dll，因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。 --------------------------- 确定 --------------------------- 2004-10-14 17:53 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 14 楼 fly你弄错了,test只是我用VC把它的sample编译成功以后的exe,里面根本没有校验,如果有校验也只能在dll里面,MSVCRTD.dll是运行时态库,也许我跟用debug方式编译的有关系. 我这个是随便找来练手的,问题是【如何确定dll脱壳成功】? 剩下的校验事情我自己可以搞定. 我自己手工脱壳,运行exe没有任何界面显示,也没有出错提示,但是进程列表中有,. 用你上面的那个脱壳dll,运行倒是可以显示界面,但是一旦运行到调用dll的输出函数的地方就出错. 我想根本原因是没有脱壳成功. 附件是我重新的编译的test.exe,使用release方式,共享MFC方式编译.大小28K.如果还需要MSVCRTD.dll的话,我再传一个static编译的release的test.exe.附件:TestEncryDll.rar 2004-10-15 10:06 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 15 楼 static MFC编译的release的test.exe.附件:TestEncryDll.rar 2004-10-15 10:16 0
bob2000 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	bob2000 16 楼你这是在变向求破解吧 2004-10-15 10:55 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 17 楼自己多分析:) 2004-10-15 11:10 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 18 楼我何必变相破解呢? 不就是一个获取硬件系列号的功能吗?我自己写的比它的全面,谁需要的话可以跟我要源代码~ 我的意思是分析这个dll的壳,搜索了好多PECompact加壳的文章,唯独就对dll的脱壳介绍甚少!所以我想弄明白这个原理. 2004-10-15 13:31 0
bob2000 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	bob2000 19 楼最初由 great1234 发布我何必变相破解呢? 不就是一个获取硬件系列号的功能吗?我自己写的比它的全面,谁需要的话可以跟我要源代码~ 我的意思是分析这个dll的壳,搜索了好多PECompact加壳的文章,唯独就对dll的脱壳介绍甚少!所以我想弄明白这个原理. 你这还不是变向求破解？表达的也太白了！PECompact随便压一个dll就可以练脱壳。 2004-10-15 13:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼说的就是dll里面有检验如何确定dll脱壳成功？当然最好的是原主程序可以正常调用，如果没有检验的话基本上代码修复好、输入表和重定位表修复好就算是脱壳完成了譬如exe程序的壳，脱壳完成却无法运行，很有可能就是检验了你可以参看一下这个帖子 http://bbs.pediy.com/showthread.php?s=&threadid=5802 如果是学习脱壳，你可以自己用PECompact加个DLL看看 2004-10-15 13:52 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 21 楼 ok,我已经弄明白了!感谢大家. 2004-10-15 18:29 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼下载第7楼的 heXer 脱壳&去除自校验版不要删除里面的reg.old thanks：heXer :D 2004-10-15 21:56 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 23 楼谢谢,我要的不是破解.虽然我不是太明白,但是我继续在努力. 2004-10-16 01:36 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 24 楼 great1234老兄：这个reg.dll脱壳，去校验最后弄好了吗？能把详细过程或手记发一份给我吗？ 2005-6-15 15:04 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 25 楼这个现在还有没有用重定位有没有手动修复的方法呢附件:PEComAngela.zip 2005-6-15 17:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

great1234

发帖

523

回帖

RANK

关注

私信

他的文章

[求助]tElock 0.98b1 -> tE!加的壳如何脱? 4980

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2 楼看了fly版主的<用Ollydbg手脱PECompact加壳的DLL>,到了三、重定位表修复的地方卡住了,望大家支援一把 2004-10-13 14:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼基本上已经写的清楚了可以看simonzh写的相关教程 2004-10-13 17:23 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 4 楼感谢版主指教,我去找找看看!再次百忙之中为我回复感谢! ================== 再次打扰一下,请问simonzhde 的教程在哪里阿?可以告诉我地址吗? 2004-10-13 17:37 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 http://bbs.pediy.com/showthread.php?s=&threadid=3289 2004-10-13 20:32 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 6 楼是这样的,有几个问题需要请教大家! 1.找到OEP【207BB】之后是用LoadPE脱壳呢还是用ODBG自带的脱壳? 2.脱壳以后的修复,在ImportREC里,添入OEP【207BB】,接下来是【手工添入RVA,SIZE的值呢还是用IAT AutoSearch】?我看在这个问题上fly和simonzh2000 的两篇文章似乎不同!这个时候自动搜索出来的RVA=2B000,大小=194. FLY的是用【运行ImportREC，选中Ollydbg的loaddll.exe的进程，然后点“选取DLL”，选择ftgg.dll，填入RVA＝0001B000、大小＝3A0、OEP=00009690 ，点“Get Import”。用PEditor纠正dumped.dll的DumpFixer，修正区块。FixDump！】请问【用PEditor纠正dumped.dll的DumpFixer，修正区块。】是先用ImportREC修复dumped.dll呢?还是用PEdior纠正?具体怎么纠正??请老大详细说清楚此时的步骤! 3.重定位表修复的问题: FLY的是找到开始和大小,然后用另外的工具再处理,然后再写回去. 而simonzh2000 的是直接修改原始DLL的代码. 此时RVA=43000,size=2734. 4,用LordPE修正dumped_.dll的重定位表RVA=00043000、大小＝00002734，保存之。【请问这个地方是LordPE->PE Editor->Relocation项中的RVA和Size吗?】 5,FLY的那篇文章里面时而用LordPE,时而用PEditor,请问这两者有什么不同吗?? 以上问题请大家赐教! 2004-10-14 09:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼灵活运用 heXer 脱壳&去除自校验附件:test.rar 2004-10-14 12:59 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 8 楼大哥,我需要的是思想,而不是最后的结果,俗话说授人之鱼,不如授人之渔! 我需要的是大虾帮我分析脱壳的步骤,我折腾了48个小时了,中间就睡了6个小时! =================== BTW:FLY大哥带我操劳的这个脱壳DLL不能正确调用,所以我需要的是脱壳的步骤,再次感谢FLY!附件是我的测试这个dll的exe!附件:Test.rar 附件:Test.rar 2004-10-14 12:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼把10010530处的nop改为call 10019520试试某些时候无法运行是因为有检验自己跟踪 2004-10-14 13:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 1、都可以 2、dll一般手动设置AIT RVA和SIZE 3、用simonzh2000的方法比较好 4、yes 5、用哪个都行 6、看看我的UnPacked，某些时候看看别人的脱壳文件，逆向其思路 2004-10-14 13:05 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 11 楼 ok,我对我刚才的灌水行为进行自我批评! 另外,我找了很多的关于dll脱壳的文章,都是在关键的地方产生起义! 所以我要清楚我这一次脱壳的来龙去脉! ========================= 1.修改10010530处的call 10019520,我没有试验成功,运行还是出错 2.为什么要修改这里? 3.我想知道这个壳的完整脱法和原理. 2004-10-14 13:06 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 12 楼唉~~~~~~~~~~~~~~~又是一天浪费了! 2004-10-14 17:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼共享文件加密算法库？这个东东有检验自己调试吧 BTW：2篇脱壳教程已经比较清楚了，建议先从exe脱壳做起吧 --------------------------- Test.exe - 无法找到组件 --------------------------- 没有找到 MSVCRTD.dll，因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。 --------------------------- 确定 --------------------------- 2004-10-14 17:53 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 14 楼 fly你弄错了,test只是我用VC把它的sample编译成功以后的exe,里面根本没有校验,如果有校验也只能在dll里面,MSVCRTD.dll是运行时态库,也许我跟用debug方式编译的有关系. 我这个是随便找来练手的,问题是【如何确定dll脱壳成功】? 剩下的校验事情我自己可以搞定. 我自己手工脱壳,运行exe没有任何界面显示,也没有出错提示,但是进程列表中有,. 用你上面的那个脱壳dll,运行倒是可以显示界面,但是一旦运行到调用dll的输出函数的地方就出错. 我想根本原因是没有脱壳成功. 附件是我重新的编译的test.exe,使用release方式,共享MFC方式编译.大小28K.如果还需要MSVCRTD.dll的话,我再传一个static编译的release的test.exe.附件:TestEncryDll.rar 2004-10-15 10:06 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 15 楼 static MFC编译的release的test.exe.附件:TestEncryDll.rar 2004-10-15 10:16 0
bob2000 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	bob2000 16 楼你这是在变向求破解吧 2004-10-15 10:55 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 17 楼自己多分析:) 2004-10-15 11:10 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 18 楼我何必变相破解呢? 不就是一个获取硬件系列号的功能吗?我自己写的比它的全面,谁需要的话可以跟我要源代码~ 我的意思是分析这个dll的壳,搜索了好多PECompact加壳的文章,唯独就对dll的脱壳介绍甚少!所以我想弄明白这个原理. 2004-10-15 13:31 0
bob2000 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	bob2000 19 楼最初由 great1234 发布我何必变相破解呢? 不就是一个获取硬件系列号的功能吗?我自己写的比它的全面,谁需要的话可以跟我要源代码~ 我的意思是分析这个dll的壳,搜索了好多PECompact加壳的文章,唯独就对dll的脱壳介绍甚少!所以我想弄明白这个原理. 你这还不是变向求破解？表达的也太白了！PECompact随便压一个dll就可以练脱壳。 2004-10-15 13:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 20 楼说的就是dll里面有检验如何确定dll脱壳成功？当然最好的是原主程序可以正常调用，如果没有检验的话基本上代码修复好、输入表和重定位表修复好就算是脱壳完成了譬如exe程序的壳，脱壳完成却无法运行，很有可能就是检验了你可以参看一下这个帖子 http://bbs.pediy.com/showthread.php?s=&threadid=5802 如果是学习脱壳，你可以自己用PECompact加个DLL看看 2004-10-15 13:52 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 21 楼 ok,我已经弄明白了!感谢大家. 2004-10-15 18:29 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼下载第7楼的 heXer 脱壳&去除自校验版不要删除里面的reg.old thanks：heXer :D 2004-10-15 21:56 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 23 楼谢谢,我要的不是破解.虽然我不是太明白,但是我继续在努力. 2004-10-16 01:36 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 24 楼 great1234老兄：这个reg.dll脱壳，去校验最后弄好了吗？能把详细过程或手记发一份给我吗？ 2005-6-15 15:04 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 25 楼这个现在还有没有用重定位有没有手动修复的方法呢附件:PEComAngela.zip 2005-6-15 17:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复