[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）

发表于: 2008-3-16 10:42 122626

[样章2]《加密与解密(第三版)》--13.5 DLL文件脱壳（重定位表修复部分）

kanxue

2008-3-16 10:42

122626

查看主题内容

收藏・42

免费・0

支持

最新回复 (98) ◀ 1 2 3 4
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 76 楼谢谢楼主学习中 2009-2-26 17:20 0
dxiaolin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	dxiaolin 77 楼谢谢，下载去学习 2009-2-27 18:17 0
种子一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	种子一号 78 楼下来看看，谢谢分享。 2009-3-13 23:34 0
云中雾雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	云中雾 79 楼都值得收藏，我们这面看不到书。 2009-5-8 19:03 0
cnywco 雪币： 30 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	cnywco 80 楼好文章,,刚需要这方面的教程 2009-5-9 09:11 0
yerong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 29 粉丝 0 关注私信	yerong 81 楼补丁代码，我输入后，不知怎么保存？在那里能保存补丁代码？ 2009-5-12 15:05 0
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 82 楼确实非常郁闷，我买的加密解密第三版中，在351页居然没有“然后在dumped_.dll里找一块空白代码处保存重定位表（一般在UPX1或UPX2区块里找），在这选择C000h处。” 这一句，很重要的一句，看书一看觉得摸头不着脑，来坛里一看，少点东西看书中很多地方都是，一下子给个结论下来，就比如我的书上选C000h一样的语句，常常让自己看得很郁闷，对菜鸟来说太痛苦了，坛主能不能想想办法啊，谢谢不过有点问题，我dump处理出来的文件在C000h处为什么是有内容的呢？不像说的那样“找一块空白代码处保存重定位表” 2009-6-4 15:48 0
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 83 楼不用保存，保存就改变了原始程序了，只是临时用一下下，获取到需重定位地址的RVA即可，我们只需要保存RVA的binary文件即可 2009-6-4 15:51 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 84 楼请问一下,下面这行代码是怎么跟到的啊 003D1266 A1 58B43D00 mov eax, dword ptr [3DB458] 2009-7-3 22:06 0
serverking 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	serverking 85 楼按照加密和解密第三版中的重建DLL的输入表去重建时遇到了麻烦，下面是书上面的步骤，在最后的Fix Dump选中dumped.dll后，出现问题，不知道哪里出现问题了。。试了N次都不行，有哪位大哥，帮忙看看。。。下图是出错的。。。输入表地址错误==提示为:无法转存文件,在此转存文件中无法匹配ＲＶＡ到偏移量 13.5.3 重建DLL的输入表 ImportREC能很好地支持DLL的输入表的重建，首先，在Options里将“Use PE Header From Disk”默认的选项去除。这是因为ImportREC需要获得基址计算RVA值，DLL如果重定位了，从磁盘取默认基址计算会导致结果错误。 1)在ImportREC下拉列表框中选择DLL装载器的进程，此处为loaddll.exe进程。 2)单击“Pick DLL”按钮，在DLL进程列表中选择EdrLib.dll进程（见图13.47）。图13.47 选择DLL进程 3)在OEP处，填上DLL入口的RVA值1240h，单击IAT AutoSearch按钮获取IAT地址。如果失败，必须手工判断DLL的IAT位置和大小，其RVA为7000h，Size为E8h。 4)单击“Get Import”按钮，让其分析IAT结构重建输入表。 5)勾选Add new section，单击“Fix Dump”按钮，并选择刚抓取的映像文件dumped.dll，它将创建一个dumped_.dll文件。 2009-8-30 12:13 0
转身雪币： 229 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 0 关注私信	转身 86 楼还是不怎么懂 LZ好强大哦.. 进来学习了 2009-9-1 22:52 0
天外有天雪币： 207 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	天外有天 87 楼真是好资料，适合初学者。 2009-9-26 16:41 0
Arming 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	Arming 88 楼书是买了，但看不懂，结果兜来兜去，还是跑到这本书上来。 2009-12-8 16:44 0
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 89 楼呵呵，这本书在图书馆借了，还在看，不过太厚了…… 2009-12-8 19:35 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 90 楼按照补丁做不出来，原来是补丁少了 mov dword ptr ds:[edx],ebx 这一句。 2009-12-24 19:51 0
紫卿雨薇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	紫卿雨薇 91 楼呵呵图书馆有拜读过了不过没怎么懂。。。 2009-12-26 20:39 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 92 楼这个好像以前没有收藏过。（或是现在找不到了） 2009-12-31 22:15 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 93 楼感觉pdf中好像少了2张图 2009-12-31 22:18 0
ofxmzyo 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	ofxmzyo 94 楼一本还不错的好书，已经买了一本。非常不错。 2010-1-5 18:51 0
xdlakx 雪币： 630 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	xdlakx 95 楼支持！~！~ 2011-1-6 20:20 0
bbchylml 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	bbchylml 96 楼强烈支持，看了一下，有点明白了。 2011-5-1 09:43 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 97 楼 relREC是好东西，谢谢 2014-7-31 11:06 0
蚯蚓降龙雪币： 4942 活跃值： (987) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 98 楼好东西，又学习了！ 2014-10-25 22:04 0
ysyhj 雪币： 273 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	ysyhj 99 楼学习。。。。。 2016-6-24 20:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kanxue

2375

发帖

17046

回帖

350

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (98) ◀ 1 2 3 4
lankiny 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	lankiny 76 楼谢谢楼主学习中 2009-2-26 17:20 0
dxiaolin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	dxiaolin 77 楼谢谢，下载去学习 2009-2-27 18:17 0
种子一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	种子一号 78 楼下来看看，谢谢分享。 2009-3-13 23:34 0
云中雾雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	云中雾 79 楼都值得收藏，我们这面看不到书。 2009-5-8 19:03 0
cnywco 雪币： 30 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	cnywco 80 楼好文章,,刚需要这方面的教程 2009-5-9 09:11 0
yerong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 29 粉丝 0 关注私信	yerong 81 楼补丁代码，我输入后，不知怎么保存？在那里能保存补丁代码？ 2009-5-12 15:05 0
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 82 楼确实非常郁闷，我买的加密解密第三版中，在351页居然没有“然后在dumped_.dll里找一块空白代码处保存重定位表（一般在UPX1或UPX2区块里找），在这选择C000h处。” 这一句，很重要的一句，看书一看觉得摸头不着脑，来坛里一看，少点东西看书中很多地方都是，一下子给个结论下来，就比如我的书上选C000h一样的语句，常常让自己看得很郁闷，对菜鸟来说太痛苦了，坛主能不能想想办法啊，谢谢不过有点问题，我dump处理出来的文件在C000h处为什么是有内容的呢？不像说的那样“找一块空白代码处保存重定位表” 2009-6-4 15:48 0
黑洞引力雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	黑洞引力 83 楼不用保存，保存就改变了原始程序了，只是临时用一下下，获取到需重定位地址的RVA即可，我们只需要保存RVA的binary文件即可 2009-6-4 15:51 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 84 楼请问一下,下面这行代码是怎么跟到的啊 003D1266 A1 58B43D00 mov eax, dword ptr [3DB458] 2009-7-3 22:06 0
serverking 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	serverking 85 楼按照加密和解密第三版中的重建DLL的输入表去重建时遇到了麻烦，下面是书上面的步骤，在最后的Fix Dump选中dumped.dll后，出现问题，不知道哪里出现问题了。。试了N次都不行，有哪位大哥，帮忙看看。。。下图是出错的。。。输入表地址错误==提示为:无法转存文件,在此转存文件中无法匹配ＲＶＡ到偏移量 13.5.3 重建DLL的输入表 ImportREC能很好地支持DLL的输入表的重建，首先，在Options里将“Use PE Header From Disk”默认的选项去除。这是因为ImportREC需要获得基址计算RVA值，DLL如果重定位了，从磁盘取默认基址计算会导致结果错误。 1)在ImportREC下拉列表框中选择DLL装载器的进程，此处为loaddll.exe进程。 2)单击“Pick DLL”按钮，在DLL进程列表中选择EdrLib.dll进程（见图13.47）。图13.47 选择DLL进程 3)在OEP处，填上DLL入口的RVA值1240h，单击IAT AutoSearch按钮获取IAT地址。如果失败，必须手工判断DLL的IAT位置和大小，其RVA为7000h，Size为E8h。 4)单击“Get Import”按钮，让其分析IAT结构重建输入表。 5)勾选Add new section，单击“Fix Dump”按钮，并选择刚抓取的映像文件dumped.dll，它将创建一个dumped_.dll文件。 2009-8-30 12:13 0
转身雪币： 229 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 0 关注私信	转身 86 楼还是不怎么懂 LZ好强大哦.. 进来学习了 2009-9-1 22:52 0
天外有天雪币： 207 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	天外有天 87 楼真是好资料，适合初学者。 2009-9-26 16:41 0
Arming 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	Arming 88 楼书是买了，但看不懂，结果兜来兜去，还是跑到这本书上来。 2009-12-8 16:44 0
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 89 楼呵呵，这本书在图书馆借了，还在看，不过太厚了…… 2009-12-8 19:35 0
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 90 楼按照补丁做不出来，原来是补丁少了 mov dword ptr ds:[edx],ebx 这一句。 2009-12-24 19:51 0
紫卿雨薇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	紫卿雨薇 91 楼呵呵图书馆有拜读过了不过没怎么懂。。。 2009-12-26 20:39 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 92 楼这个好像以前没有收藏过。（或是现在找不到了） 2009-12-31 22:15 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 93 楼感觉pdf中好像少了2张图 2009-12-31 22:18 0
ofxmzyo 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	ofxmzyo 94 楼一本还不错的好书，已经买了一本。非常不错。 2010-1-5 18:51 0
xdlakx 雪币： 630 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	xdlakx 95 楼支持！~！~ 2011-1-6 20:20 0
bbchylml 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	bbchylml 96 楼强烈支持，看了一下，有点明白了。 2011-5-1 09:43 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 97 楼 relREC是好东西，谢谢 2014-7-31 11:06 0
蚯蚓降龙雪币： 4942 活跃值： (987) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 98 楼好东西，又学习了！ 2014-10-25 22:04 0
ysyhj 雪币： 273 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	ysyhj 99 楼学习。。。。。 2016-6-24 20:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复