[求助]怎样找dll壳的重定-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]怎样找dll壳的重定 0.00雪花

发表于: 2008-9-2 11:38 3280

[旧帖] [求助]怎样找dll壳的重定 0.00雪花

hnjscx

2008-9-2 11:38

3280

0088BA36 8BF2          mov    esi, edx                      ; 52pojie.00870000
0088BA38 2B71 10       sub    esi, dword ptr [ecx+10]
0088BA3B 74 7A          je    short 0088BAB7
0088BA3D 8971 10       mov    dword ptr [ecx+10], esi
0088BA40 8DB5 55FDFFFF lea    esi, dword ptr [ebp-2AB]
0088BA46 8B36          mov    esi, dword ptr [esi]
0088BA48 8D5E FC       lea    ebx, dword ptr [esi-4]
0088BA4B 8B01          mov    eax, dword ptr [ecx]
0088BA4D 83F8 01       cmp    eax, 1
0088BA50 74 0A          je    short 0088BA5C
0088BA52 8BFA          mov    edi, edx //基址赋于edi
0088BA54 0379 08       add    edi, dword ptr [ecx+8]
0088BA57 8B49 10       mov    ecx, dword ptr [ecx+10]
0088BA5A EB 08          jmp    short 0088BA64

edx=00870000 (52pojie.00870000), ASCII "MZP"
esi=0088A0FB (52pojie.0088A0FB)

第一问怎样知道edx是基址的？
0088BA66 8A07          mov    al, byte ptr [edi] //重定位开始
0088BA68 47             inc    edi
0088BA69 0BC0          or    eax, eax
0088BA6B 74 20          je    short 0088BA8D
0088BA6D 3C EF          cmp    al, 0EF
0088BA6F 77 06          ja    short 0088BA77
0088BA71 03D8          add    ebx, eax
0088BA73 010B          add    dword ptr [ebx], ecx
0088BA75  ^ EB ED          jmp    short 0088BA64
0088BA77 24 0F          and    al, 0F
0088BA79 C1E0 10       shl    eax, 10

edi=00886000是重定位开始
2.怎样判断edi=00886000是重定位开始呢？
00886000
0088BA8D 33DB          xor    ebx, ebx //重定位结束
0088BA8F 87FE          xchg esi, edi
0088BA91 8B06          mov    eax, dword ptr [esi]
0088BA93 83F8 00       cmp    eax, 0
0088BA96 74 1F          je    short 0088BAB7
0088BA98 AD             lods dword ptr [esi]
0088BA99 0BC0          or    eax, eax
0088BA9B 74 08          je    short 0088BAA5
0088BA9D 03D8          add    ebx, eax
0088BA9F 66:010C1F    add    word ptr [edi+ebx], cx
0088BAA3  ^ EB F3          jmp    short 0088BA98

32.怎样判断edi=00886B57是重定位结束呢？
请高手指点一下。谢谢！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 2 楼这个好象没有在那里看到过系统点的问题,只知道天草说的PETools的插件试下! 2008-9-2 19:14 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 3 楼楼主想干嘛？是学习重定位的原理还是只想修改重定位 2008-9-2 19:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hnjscx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 2 楼这个好象没有在那里看到过系统点的问题,只知道天草说的PETools的插件试下! 2008-9-2 19:14 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 3 楼楼主想干嘛？是学习重定位的原理还是只想修改重定位 2008-9-2 19:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复