能力值:
(RANK:10 )
|
-
-
2 楼
看了fly版主的<用Ollydbg手脱PECompact加壳的DLL>,到了三、重定位表 修复的地方卡住了,望大家支援一把
|
能力值:
( LV9,RANK:3410 )
|
-
-
3 楼
基本上已经写的清楚了
可以看simonzh写的相关教程
|
能力值:
(RANK:10 )
|
-
-
4 楼
感谢版主指教,我去找找看看!再次百忙之中为我回复感谢!
==================
再次打扰一下,请问simonzhde 的教程在哪里阿?可以告诉我地址吗?
|
能力值:
( LV9,RANK:3410 )
|
-
-
5 楼
|
能力值:
(RANK:10 )
|
-
-
6 楼
是这样的,有几个问题需要请教大家!
1.找到OEP【207BB】之后是用LoadPE脱壳呢还是用ODBG自带的脱壳?
2.脱壳以后的修复,在ImportREC里,添入OEP【207BB】,接下来是【手工添入RVA,SIZE的值呢还是用IAT AutoSearch】?我看在这个问题上fly和simonzh2000 的两篇文章似乎不同!这个时候自动搜索出来的RVA=2B000,大小=194.
FLY的是用【运行ImportREC,选中Ollydbg的loaddll.exe的进程,然后点“选取DLL”,选择ftgg.dll,填入RVA=0001B000、大小=3A0、OEP=00009690 ,点“Get Import”。用PEditor纠正dumped.dll的DumpFixer,修正区块。FixDump!】
请问【用PEditor纠正dumped.dll的DumpFixer,修正区块。】是先用ImportREC修复dumped.dll呢?还是用PEdior纠正?具体怎么纠正??请老大详细说清楚此时的步骤!
3.重定位表 修复的问题:
FLY的是找到开始和大小,然后用另外的工具再处理,然后再写回去.
而simonzh2000 的是直接修改原始DLL的代码.
此时RVA=43000,size=2734.
4,用LordPE修正dumped_.dll的重定位表RVA=00043000、大小=00002734,保存之。【请问这个地方是LordPE->PE Editor->Relocation项中的RVA和Size吗?】
5,FLY的那篇文章里面时而用LordPE,时而用PEditor,请问这两者有什么不同吗??
以上问题请大家赐教!
|
能力值:
( LV9,RANK:3410 )
|
-
-
7 楼
|
能力值:
(RANK:10 )
|
-
-
8 楼
大哥,我需要的是思想,而不是最后的结果,俗话说授人之鱼,不如授人之渔!
我需要的是大虾帮我分析脱壳的步骤,我折腾了48个小时了,中间就睡了6个小时! ===================
BTW:FLY大哥带我操劳的这个脱壳DLL不能正确调用,所以我需要的是脱壳的步骤,再次感谢FLY!附件是我的测试这个dll的exe! 附件:Test.rar 附件:Test.rar
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
把10010530处的nop改为call 10019520试试
某些时候无法运行是因为有检验
自己跟踪
|
能力值:
( LV9,RANK:3410 )
|
-
-
10 楼
1、都可以
2、dll一般手动设置AIT RVA和SIZE
3、用simonzh2000的方法比较好
4、yes
5、用哪个都行
6、看看我的UnPacked,某些时候看看别人的脱壳文件,逆向其思路
|
能力值:
(RANK:10 )
|
-
-
11 楼
ok,我对我刚才的灌水行为进行自我批评!
另外,我找了很多的关于dll脱壳的文章,都是在关键的地方产生起义!
所以我要清楚我这一次脱壳的来龙去脉!
=========================
1.修改10010530处的call 10019520,我没有试验成功,运行还是出错
2.为什么要修改这里?
3.我想知道这个壳的完整脱法和原理.
|
能力值:
(RANK:10 )
|
-
-
12 楼
唉~~~~~~~~~~~~~~~又是一天浪费了!
|
能力值:
( LV9,RANK:3410 )
|
-
-
13 楼
共享文件加密算法库?
这个东东有检验
自己调试吧
BTW:2篇脱壳教程已经比较清楚了,建议先从exe脱壳做起吧
---------------------------
Test.exe - 无法找到组件
---------------------------
没有找到 MSVCRTD.dll,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。
---------------------------
确定
---------------------------
|
能力值:
(RANK:10 )
|
-
-
14 楼
fly你弄错了,test只是我用VC把它的sample编译成功以后的exe,里面根本没有校验,如果有校验也只能在dll里面,MSVCRTD.dll是运行时态库,也许我跟 用debug方式编译的有关系.
我这个是随便找来练手的,问题是【如何确定dll脱壳成功】?
剩下的校验事情我自己可以搞定.
我自己手工脱壳,运行exe没有任何界面显示,也没有出错提示,但是进程列表中有,.
用你上面的那个脱壳dll,运行倒是可以显示界面,但是一旦运行到调用dll的输出函数的地方就出错.
我想根本原因是没有脱壳成功. 附件是我重新的编译的test.exe,使用release方式,共享MFC方式编译.大小28K.如果还需要MSVCRTD.dll的话,我再传一个static编译的release的test.exe. 附件:TestEncryDll.rar
|
能力值:
(RANK:10 )
|
-
-
15 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
你这是在变向求破解吧
|
能力值:
( LV4,RANK:50 )
|
-
-
17 楼
自己多分析:)
|
能力值:
(RANK:10 )
|
-
-
18 楼
我何必变相破解呢?
不就是一个获取硬件系列号的功能吗?我自己写的比它的全面,谁需要的话可以跟我要源代码~
我的意思是分析这个dll的壳,搜索了好多PECompact加壳的文章,唯独就对dll的脱壳介绍甚少!所以我想弄明白这个原理.
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
最初由 great1234 发布 我何必变相破解呢? 不就是一个获取硬件系列号的功能吗?我自己写的比它的全面,谁需要的话可以跟我要源代码~
我的意思是分析这个dll的壳,搜索了好多PECompact加壳的文章,唯独就对dll的脱壳介绍甚少!所以我想弄明白这个原理.
你这还不是变向求破解?表达的也太白了!PECompact随便压一个dll就可以练脱壳。
|
能力值:
( LV9,RANK:3410 )
|
-
-
20 楼
|
能力值:
(RANK:10 )
|
-
-
21 楼
ok,我已经弄明白了!感谢大家.
|
能力值:
( LV9,RANK:3410 )
|
-
-
22 楼
下载 第7楼的
heXer 脱壳&去除自校验版
不要删除里面的reg.old
thanks:heXer
:D
|
能力值:
(RANK:10 )
|
-
-
23 楼
谢谢,我要的不是破解.虽然我不是太明白,但是我继续在努力.
|
能力值:
( LV9,RANK:170 )
|
-
-
24 楼
great1234老兄:
这个reg.dll脱壳,去校验最后弄好了吗?
能把详细过程或手记发一份给我吗?
|
能力值:
(RANK:180 )
|
-
-
25 楼
|
|
|