[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）

2008-3-16 10:42 121569

[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）

kanxue

2008-3-16 10:42

121569

查看主题内容

收藏・42

点赞・0

打赏

最新回复 (98) ◀ 1 2 3 4
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 2009-2-26 17:20 76 楼 0 谢谢楼主学习中
dxiaolin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	dxiaolin 2009-2-27 18:17 77 楼 0 谢谢，下载去学习
种子一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	种子一号 2009-3-13 23:34 78 楼 0 下来看看，谢谢分享。
云中雾雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	云中雾 2009-5-8 19:03 79 楼 0 都值得收藏，我们这面看不到书。
cnywco 雪币： 30 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 76 粉丝 0 关注私信	cnywco 2009-5-9 09:11 80 楼 0 好文章,,刚需要这方面的教程
yerong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 30 粉丝 0 关注私信	yerong 2009-5-12 15:05 81 楼 0 补丁代码，我输入后，不知怎么保存？在那里能保存补丁代码？
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 2009-6-4 15:48 82 楼 0 确实非常郁闷，我买的加密解密第三版中，在351页居然没有“然后在dumped_.dll里找一块空白代码处保存重定位表（一般在UPX1或UPX2区块里找），在这选择C000h处。” 这一句，很重要的一句，看书一看觉得摸头不着脑，来坛里一看，少点东西看书中很多地方都是，一下子给个结论下来，就比如我的书上选C000h一样的语句，常常让自己看得很郁闷，对菜鸟来说太痛苦了，坛主能不能想想办法啊，谢谢不过有点问题，我dump处理出来的文件在C000h处为什么是有内容的呢？不像说的那样“找一块空白代码处保存重定位表”
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 2009-6-4 15:51 83 楼 0 不用保存，保存就改变了原始程序了，只是临时用一下下，获取到需重定位地址的RVA即可，我们只需要保存RVA的binary文件即可
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 2009-7-3 22:06 84 楼 0 请问一下,下面这行代码是怎么跟到的啊 003D1266 A1 58B43D00 mov eax, dword ptr [3DB458]
serverking 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	serverking 2009-8-30 12:13 85 楼 0 按照加密和解密第三版中的重建DLL的输入表去重建时遇到了麻烦，下面是书上面的步骤，在最后的Fix Dump选中dumped.dll后，出现问题，不知道哪里出现问题了。。试了N次都不行，有哪位大哥，帮忙看看。。。下图是出错的。。。输入表地址错误==提示为:无法转存文件,在此转存文件中无法匹配ＲＶＡ到偏移量 13.5.3 重建DLL的输入表 ImportREC能很好地支持DLL的输入表的重建，首先，在Options里将“Use PE Header From Disk”默认的选项去除。这是因为ImportREC需要获得基址计算RVA值，DLL如果重定位了，从磁盘取默认基址计算会导致结果错误。 1)在ImportREC下拉列表框中选择DLL装载器的进程，此处为loaddll.exe进程。 2)单击“Pick DLL”按钮，在DLL进程列表中选择EdrLib.dll进程（见图13.47）。图13.47 选择DLL进程 3)在OEP处，填上DLL入口的RVA值1240h，单击IAT AutoSearch按钮获取IAT地址。如果失败，必须手工判断DLL的IAT位置和大小，其RVA为7000h，Size为E8h。 4)单击“Get Import”按钮，让其分析IAT结构重建输入表。 5)勾选Add new section，单击“Fix Dump”按钮，并选择刚抓取的映像文件dumped.dll，它将创建一个dumped_.dll文件。
转身雪币： 229 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 0 关注私信	转身 2009-9-1 22:52 86 楼 0 还是不怎么懂 LZ好强大哦.. 进来学习了
天外有天雪币： 207 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	天外有天 2009-9-26 16:41 87 楼 0 真是好资料，适合初学者。
Arming 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	Arming 2009-12-8 16:44 88 楼 0 书是买了，但看不懂，结果兜来兜去，还是跑到这本书上来。
胡雪岩雪币： 1357 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	胡雪岩 2009-12-8 19:35 89 楼 0 呵呵，这本书在图书馆借了，还在看，不过太厚了……
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 2009-12-24 19:51 90 楼 0 按照补丁做不出来，原来是补丁少了 mov dword ptr ds:[edx],ebx 这一句。
紫卿雨薇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	紫卿雨薇 2009-12-26 20:39 91 楼 0 呵呵图书馆有拜读过了不过没怎么懂。。。
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2009-12-31 22:15 92 楼 0 这个好像以前没有收藏过。（或是现在找不到了）
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2009-12-31 22:18 93 楼 0 感觉pdf中好像少了2张图
ofxmzyo 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	ofxmzyo 2010-1-5 18:51 94 楼 0 一本还不错的好书，已经买了一本。非常不错。
xdlakx 雪币： 630 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	xdlakx 2011-1-6 20:20 95 楼 0 支持！~！~
bbchylml 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	bbchylml 2011-5-1 09:43 96 楼 0 强烈支持，看了一下，有点明白了。
hbcld 雪币： 43 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 241 粉丝 0 关注私信	hbcld 2014-7-31 11:06 97 楼 0 relREC是好东西，谢谢
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 2014-10-25 22:04 98 楼 0 好东西，又学习了！
ysyhj 雪币： 273 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	ysyhj 2016-6-24 20:41 99 楼 0 学习。。。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

kanxue

1827

发帖

15215

回帖

350

RANK

关注

私信

他的文章

@所有人看雪·第八届安全开发者峰会【议题征集】正式启动

关于我们

联系我们

企业服务

看雪公众号

最新回复 (98) ◀ 1 2 3 4
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 2009-2-26 17:20 76 楼 0 谢谢楼主学习中
dxiaolin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	dxiaolin 2009-2-27 18:17 77 楼 0 谢谢，下载去学习
种子一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	种子一号 2009-3-13 23:34 78 楼 0 下来看看，谢谢分享。
云中雾雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	云中雾 2009-5-8 19:03 79 楼 0 都值得收藏，我们这面看不到书。
cnywco 雪币： 30 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 76 粉丝 0 关注私信	cnywco 2009-5-9 09:11 80 楼 0 好文章,,刚需要这方面的教程
yerong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 30 粉丝 0 关注私信	yerong 2009-5-12 15:05 81 楼 0 补丁代码，我输入后，不知怎么保存？在那里能保存补丁代码？
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 2009-6-4 15:48 82 楼 0 确实非常郁闷，我买的加密解密第三版中，在351页居然没有“然后在dumped_.dll里找一块空白代码处保存重定位表（一般在UPX1或UPX2区块里找），在这选择C000h处。” 这一句，很重要的一句，看书一看觉得摸头不着脑，来坛里一看，少点东西看书中很多地方都是，一下子给个结论下来，就比如我的书上选C000h一样的语句，常常让自己看得很郁闷，对菜鸟来说太痛苦了，坛主能不能想想办法啊，谢谢不过有点问题，我dump处理出来的文件在C000h处为什么是有内容的呢？不像说的那样“找一块空白代码处保存重定位表”
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 2009-6-4 15:51 83 楼 0 不用保存，保存就改变了原始程序了，只是临时用一下下，获取到需重定位地址的RVA即可，我们只需要保存RVA的binary文件即可
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 2009-7-3 22:06 84 楼 0 请问一下,下面这行代码是怎么跟到的啊 003D1266 A1 58B43D00 mov eax, dword ptr [3DB458]
serverking 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	serverking 2009-8-30 12:13 85 楼 0 按照加密和解密第三版中的重建DLL的输入表去重建时遇到了麻烦，下面是书上面的步骤，在最后的Fix Dump选中dumped.dll后，出现问题，不知道哪里出现问题了。。试了N次都不行，有哪位大哥，帮忙看看。。。下图是出错的。。。输入表地址错误==提示为:无法转存文件,在此转存文件中无法匹配ＲＶＡ到偏移量 13.5.3 重建DLL的输入表 ImportREC能很好地支持DLL的输入表的重建，首先，在Options里将“Use PE Header From Disk”默认的选项去除。这是因为ImportREC需要获得基址计算RVA值，DLL如果重定位了，从磁盘取默认基址计算会导致结果错误。 1)在ImportREC下拉列表框中选择DLL装载器的进程，此处为loaddll.exe进程。 2)单击“Pick DLL”按钮，在DLL进程列表中选择EdrLib.dll进程（见图13.47）。图13.47 选择DLL进程 3)在OEP处，填上DLL入口的RVA值1240h，单击IAT AutoSearch按钮获取IAT地址。如果失败，必须手工判断DLL的IAT位置和大小，其RVA为7000h，Size为E8h。 4)单击“Get Import”按钮，让其分析IAT结构重建输入表。 5)勾选Add new section，单击“Fix Dump”按钮，并选择刚抓取的映像文件dumped.dll，它将创建一个dumped_.dll文件。
转身雪币： 229 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 0 关注私信	转身 2009-9-1 22:52 86 楼 0 还是不怎么懂 LZ好强大哦.. 进来学习了
天外有天雪币： 207 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	天外有天 2009-9-26 16:41 87 楼 0 真是好资料，适合初学者。
Arming 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	Arming 2009-12-8 16:44 88 楼 0 书是买了，但看不懂，结果兜来兜去，还是跑到这本书上来。
胡雪岩雪币： 1357 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	胡雪岩 2009-12-8 19:35 89 楼 0 呵呵，这本书在图书馆借了，还在看，不过太厚了……
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 2009-12-24 19:51 90 楼 0 按照补丁做不出来，原来是补丁少了 mov dword ptr ds:[edx],ebx 这一句。
紫卿雨薇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	紫卿雨薇 2009-12-26 20:39 91 楼 0 呵呵图书馆有拜读过了不过没怎么懂。。。
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2009-12-31 22:15 92 楼 0 这个好像以前没有收藏过。（或是现在找不到了）
clide2000 雪币： 299 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2009-12-31 22:18 93 楼 0 感觉pdf中好像少了2张图
ofxmzyo 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	ofxmzyo 2010-1-5 18:51 94 楼 0 一本还不错的好书，已经买了一本。非常不错。
xdlakx 雪币： 630 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	xdlakx 2011-1-6 20:20 95 楼 0 支持！~！~
bbchylml 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	bbchylml 2011-5-1 09:43 96 楼 0 强烈支持，看了一下，有点明白了。
hbcld 雪币： 43 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 241 粉丝 0 关注私信	hbcld 2014-7-31 11:06 97 楼 0 relREC是好东西，谢谢
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 2014-10-25 22:04 98 楼 0 好东西，又学习了！
ysyhj 雪币： 273 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	ysyhj 2016-6-24 20:41 99 楼 0 学习。。。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复