-
-
[旧帖] [已解决]脱Dll的壳遇到疑难问题了 0.00雪花
-
发表于: 2008-4-15 22:38
-
这个壳是AsPack的,基址是0x10000000,另外还有一个dll基址也是0x10000000,某个exe会Load这两个dll,先Load后者,所以带壳的那个不可能被映射到0x10000000的位置,实测是0x00CB0000作为基址。
问题出来了,这个AsPack的壳,带壳的情况下,映射到不同的基址,所解压出来的汇编代码是不同的,主要是mov eax, dword ptr[address]这种,带壳的dll,会自动修正address,但是脱壳后的dll,这个address却被固定下来了(基于0x10000000)……
这样的dll可以脱壳吗?如果可以的话,要用什么进行dump?
问题出来了,这个AsPack的壳,带壳的情况下,映射到不同的基址,所解压出来的汇编代码是不同的,主要是mov eax, dword ptr[address]这种,带壳的dll,会自动修正address,但是脱壳后的dll,这个address却被固定下来了(基于0x10000000)……
这样的dll可以脱壳吗?如果可以的话,要用什么进行dump?
