首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
请帮忙查一下此dll文件有没有被加壳
发表于: 2008-12-8 21:34 7402

请帮忙查一下此dll文件有没有被加壳

ysoni 活跃值
2008-12-8 21:34
7402
我用PiED查,是dUP v2.x Patcher --> http://www.diablo2oo2.cjb.net [Overlay] *

[注意]看雪招聘,专注安全领域的专业人才平台!

上传的附件:
收藏
免费
支持
分享
最新回复 (10)
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
2
你为什么会怀疑 peid的结果?
2008-12-8 21:35
0
ysoni
雪    币: 6
活跃值: (3241)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
是用核心扫描才能扫出是dUP v2.x Patcher --> http://www.diablo2oo2.cjb.net [Overlay] *
调试了一下,显然文件被处理过了
2008-12-8 21:39
0
范范love
雪    币: 317
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
4
此一般是属于从某些壳脱下来之后显示的,列如TMD脱壳机脱壳后会有此效果,一般这种情况都属于误报站多数!
2008-12-8 21:55
0
ysoni
雪    币: 6
活跃值: (3241)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
其实那个dll是Virtual Serial Port ActiveX 控件,我未处理任何处理。
调试发现dll在被exe载入后有patch操作。
OD直接载入dll,与OD用exe执行到dll地址空间得到的反编译代码是不一样的
2008-12-12 16:52
0
rekingchai
雪    币: 204
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
支持一下,。。。很多情况还是要靠经验的啊
2008-12-12 18:56
0
Pan88168
雪    币: 483
活跃值: (152)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
此DLL无壳

不要只相信PEID,有很多工具都能伪装成标准的入口欺骗PEID, 需要自己调试下就清楚了

VC++8.0的
2008-12-13 07:20
0
sorl
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
DLL查应无壳
Microsoft Visual C++ 8.0 DLL Method2 [Overlay]
2008-12-13 13:08
0
ysoni
雪    币: 6
活跃值: (3241)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
这个DLL很奇怪。用OD载入,根本没有20001000~2002DFFF空间。
用Ctrl + G定位到20001000,看到的全是add     byte ptr [eax], al

在执行完该DLL的DllMain() [OD地址:20073700] 函数后,20001000~2002DFFF的代码完全改变了。
这个是不是自修改?
2008-12-25 16:46
0
satcity
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
兄弟,你的问题解决了吗
我也看到了是这个情况,的确是压缩了,注册代码就在这里面,找到了地方,单独载入找不到
2010-6-28 10:30
0
ttthhh
雪    币: 56
活跃值: (276)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
咋没有人关注?先顶起来,高手请进!
2010-9-12 21:43
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》