[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）

2008-3-16 10:42 121681

[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）

kanxue

2008-3-16 10:42

121681

查看主题内容

收藏・42

点赞・0

打赏

最新回复 (98) ◀ 1 2 3 4 ▶
leeboe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	leeboe 2008-6-21 19:22 51 楼 0 一定要买，这是很经典的书籍啦。
刃牙雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	刃牙 2008-6-23 10:13 52 楼 0 终于可以买本了!
可乐kele 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	可乐kele 2008-7-23 20:25 53 楼 0 这个DLL的加客的多吗，我不是很懂
黑豹雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	黑豹 2008-7-26 13:34 54 楼 0 看到就是爽啊！厉害！
platformer 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	platformer 2008-7-30 12:06 55 楼 0 不错支持！！！！！！！！！！！
newpublic 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	newpublic 2008-8-1 10:22 56 楼 0 很好很强大顶一个
ctwyw 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ctwyw 2008-8-1 11:06 57 楼 0 好东西。一定要买。
xmaker 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xmaker 2008-8-5 09:50 58 楼 0 我也要买!买买买...........
qjmotor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	qjmotor 2008-8-5 16:58 59 楼 0 我也要一定要想法办法买到手
aoyuhuaoju 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 118 粉丝 0 关注私信	aoyuhuaoju 2008-9-2 10:23 60 楼 0 不知到第二版与第三版有那些不同的地方
disahacker 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	disahacker 2008-9-4 23:42 61 楼 0 支持一下
fjfhihcy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	fjfhihcy 2008-9-19 16:40 62 楼 0 现在有没有电子版的书出呀
活着的龙雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	活着的龙 2008-9-22 15:14 63 楼 0 补丁代码键入完成后，外壳在处理重定位相关代码时，这段补丁代码将需要重定位的RVA全部提取出来。执行完补丁代码，数据窗口将保存需要重定位的RVA，在执行补丁代码的时候提示，od盯住，关闭od时提示错误：无法终止进程EdrLib，操作系统报错ERROR_ACCESS_DENIED 已经用HideOD申请了内存
mmfdr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	mmfdr 2008-9-25 15:44 64 楼 0 太诱人了，呵呵
leolsj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	leolsj 2008-12-3 10:22 65 楼 0 谢谢楼主！努力学习...
sancome 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	sancome 2008-12-9 09:52 66 楼 0 原来有电子版的啊？好诶
冰到极点雪币： 156 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	冰到极点 2008-12-10 16:46 67 楼 0 重定位表以1000h大小为一个段，因为ItemOffset最长为12位，即刚好为1000h。如果还有更多段，将重复上面数据结构，直到VirtualAddress为NULL，表示结束。 ReloREC工具可以根据一组重定位的RVA，重新构造一个新的重定位表。首先要做的工作是将UPX外壳这些要重定位的RVA提取出来。在处理重定位代码语句中，下面这句就是对代码重定位，其中EBX保存的就是要重定位的地址。代码: 003DE7B6 mov dword ptr [ebx], eax ;EBX指向要重定位的RVA 补丁的思路是找块代码空间，跳过去执行补丁代码，将重定位的地址转成RVA，并保存下来。如下语句跳到补丁代码处： --------------------------------------------要是UPX的壳可以对付了，要是别的壳，比如vmp的，程序自身的重定位表就几行东东，显然不是真正的RVA。如何找着这个RVA的地址，楼主讲下吧。谢谢！！
rhh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	rhh 2008-12-11 13:14 68 楼 0 今天刚订了一本,我从第一版开始买,3个版本都买了,也没系统的学,现在等第三版到了,就系统的学习学习!
鲁夫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	鲁夫 2008-12-12 09:35 69 楼 0 太好了，谢谢了LZ
玉米鱼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	玉米鱼 2008-12-13 13:36 70 楼 0 能免费就好了。呵呵
helei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	helei 2008-12-24 20:43 71 楼 0 我想买这本书
cljnn 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 37 粉丝 0 关注私信	cljnn 2008-12-25 00:34 72 楼 0 真是好学习资料呀。支持。
BAICC 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	BAICC 2009-1-11 09:41 73 楼 0 努力学习中.
yekoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	yekoo 2009-1-14 19:32 74 楼 0 支持下然后想办法弄到手才是王道
ancannon 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ancannon 2009-2-6 00:01 75 楼 0 不知老大什么时候能上市啊!支持!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

kanxue

2359

发帖

17010

回帖

350

RANK

关注

私信

他的文章

@所有人看雪·第八届安全开发者峰会【议题征集】正式启动

关于我们

联系我们

企业服务

看雪公众号

最新回复 (98) ◀ 1 2 3 4 ▶
leeboe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	leeboe 2008-6-21 19:22 51 楼 0 一定要买，这是很经典的书籍啦。
刃牙雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	刃牙 2008-6-23 10:13 52 楼 0 终于可以买本了!
可乐kele 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	可乐kele 2008-7-23 20:25 53 楼 0 这个DLL的加客的多吗，我不是很懂
黑豹雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	黑豹 2008-7-26 13:34 54 楼 0 看到就是爽啊！厉害！
platformer 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	platformer 2008-7-30 12:06 55 楼 0 不错支持！！！！！！！！！！！
newpublic 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	newpublic 2008-8-1 10:22 56 楼 0 很好很强大顶一个
ctwyw 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ctwyw 2008-8-1 11:06 57 楼 0 好东西。一定要买。
xmaker 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xmaker 2008-8-5 09:50 58 楼 0 我也要买!买买买...........
qjmotor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	qjmotor 2008-8-5 16:58 59 楼 0 我也要一定要想法办法买到手
aoyuhuaoju 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 118 粉丝 0 关注私信	aoyuhuaoju 2008-9-2 10:23 60 楼 0 不知到第二版与第三版有那些不同的地方
disahacker 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	disahacker 2008-9-4 23:42 61 楼 0 支持一下
fjfhihcy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	fjfhihcy 2008-9-19 16:40 62 楼 0 现在有没有电子版的书出呀
活着的龙雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	活着的龙 2008-9-22 15:14 63 楼 0 补丁代码键入完成后，外壳在处理重定位相关代码时，这段补丁代码将需要重定位的RVA全部提取出来。执行完补丁代码，数据窗口将保存需要重定位的RVA，在执行补丁代码的时候提示，od盯住，关闭od时提示错误：无法终止进程EdrLib，操作系统报错ERROR_ACCESS_DENIED 已经用HideOD申请了内存
mmfdr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	mmfdr 2008-9-25 15:44 64 楼 0 太诱人了，呵呵
leolsj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	leolsj 2008-12-3 10:22 65 楼 0 谢谢楼主！努力学习...
sancome 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	sancome 2008-12-9 09:52 66 楼 0 原来有电子版的啊？好诶
冰到极点雪币： 156 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	冰到极点 2008-12-10 16:46 67 楼 0 重定位表以1000h大小为一个段，因为ItemOffset最长为12位，即刚好为1000h。如果还有更多段，将重复上面数据结构，直到VirtualAddress为NULL，表示结束。 ReloREC工具可以根据一组重定位的RVA，重新构造一个新的重定位表。首先要做的工作是将UPX外壳这些要重定位的RVA提取出来。在处理重定位代码语句中，下面这句就是对代码重定位，其中EBX保存的就是要重定位的地址。代码: 003DE7B6 mov dword ptr [ebx], eax ;EBX指向要重定位的RVA 补丁的思路是找块代码空间，跳过去执行补丁代码，将重定位的地址转成RVA，并保存下来。如下语句跳到补丁代码处： --------------------------------------------要是UPX的壳可以对付了，要是别的壳，比如vmp的，程序自身的重定位表就几行东东，显然不是真正的RVA。如何找着这个RVA的地址，楼主讲下吧。谢谢！！
rhh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	rhh 2008-12-11 13:14 68 楼 0 今天刚订了一本,我从第一版开始买,3个版本都买了,也没系统的学,现在等第三版到了,就系统的学习学习!
鲁夫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	鲁夫 2008-12-12 09:35 69 楼 0 太好了，谢谢了LZ
玉米鱼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	玉米鱼 2008-12-13 13:36 70 楼 0 能免费就好了。呵呵
helei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	helei 2008-12-24 20:43 71 楼 0 我想买这本书
cljnn 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 37 粉丝 0 关注私信	cljnn 2008-12-25 00:34 72 楼 0 真是好学习资料呀。支持。
BAICC 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	BAICC 2009-1-11 09:41 73 楼 0 努力学习中.
yekoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	yekoo 2009-1-14 19:32 74 楼 0 支持下然后想办法弄到手才是王道
ancannon 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ancannon 2009-2-6 00:01 75 楼 0 不知老大什么时候能上市啊!支持!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复