能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
修改其运行流程得到重定位休息
看帖子,里面有说明
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
那个地方我改过:
003B71C8 8785 35050000 xchg dword ptr ss:[ebp+535],eax
003B71CE 8B95 22040000 mov edx,dword ptr ss:[ebp+422]
003B71D4 8B85 2D050000 mov eax,dword ptr ss:[ebp+52D]
003B71DA 2BD0 sub edx,eax
003B71DC 74 79 je short EdrLib.003B7257
//正常如你所说应该不跳,但是我的dll在这里跳了
003B71DE 8BC2 mov eax,edx
003B71E0 C1E8 10 shr eax,10
003B71E3 33DB xor ebx,ebx
003B71E5 8BB5 39050000 mov esi,dword ptr ss:[ebp+539]
//如果改那个跳让他强行到这里的话ESI=00000000
003B71EB 03B5 22040000 add esi,dword ptr ss:[ebp+422]
003B71F1 833E 00 cmp dword ptr ds:[esi],0
003B71F4 74 61 je short EdrLib.003B7257
这是不是意味着没有重定位信息?
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
嗯,某些可能故意去掉了重定位表
|
能力值:
( LV6,RANK:90 )
|
-
-
5 楼
就是说没有也一样?这样可以吗?
还有为什么w32dasm反编译脱壳后的dll什么字符串都看不到?
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
他这个dll基址很高,可能单独运行是没问题的
一般dll是需要重定位表的
|
能力值:
( LV6,RANK:90 )
|
-
-
7 楼
哦,有点明白了,谢谢!
|
|
|