好友
阅读权限25
听众
最后登录1970-1-1
|
【文章标题】手脱DLL双重壳+修正DLL重定位 (ASPack+NSPack)
【文章作者】维护世界和平
【文章目标】自制小程序
【相关工具】OllyDbg,LordPE,ImportREC
【作者 Q Q】594310
【作者邮箱】594310@qq.com
【作者主页】居无定所,四处漂流
【版权声明】吾爱破解——[参赛作品]
------------------------------------------------------------------
大家好,我是吾爱破解论坛的维护世界和平,我的愿望是希望世界一切和平,发展和谐社会,抵抗外星人入侵地球!!!我的QQ是:594310,欢迎大家加我QQ互相交流一下心得!
看了那么多高手也做教程参赛,自己心里也痒痒的,所以自己也准备了一下~做得不好,请多多见量,希望大大们能给个名次!!!
这个是我自己弄的小程序,DLL的壳也是我加上去的!等下这小程序我会一起跟教程打包上去,大家也可以自己练习一下~
这个DLL文件未脱壳前,界面很普通~但脱完壳后,证明这小程序还是有内在美的!!!
这是动画教程,我就不多说了~关键地方我记录下来,其他的,你们自己看教程!
外面是ASPack 2.12壳,先OD,载入DLL~ASPACK的壳,我们就用ESP脱吧,相信这个大家都会吧~经常脱壳的朋友,一看壳的入口,就知道是北斗的壳了....先单步,找重定位的位置~~
0092BA36 8BF2 mov esi,edx 基址
edx=00910000 (52pojie.00910000), ASCII "MZP"
基址:00910000
0092BA66 8A07 mov al,byte ptr ds:[edi] 重定位开始
查看EDI寄存器的地址
重定位开始:926000
0092BA8D 33DB xor ebx,ebx 重定位结束
还是查看EDI寄存器的地址
重定位结束:00926B57
到这里,重定位就结束了,我们开始脱壳~
到OEP了,我们把DLL文件DUMP下来
选择LOADDLL.EXE进程~选择我们载入的DLL文件~
然后开始修复IAT表了
注意了!使用来自磁盘的PE文件这个勾要去掉!~然后点选取DLL~
OEP:0921FD8-基地址(00910000)=11FD8
在这里我们获取不到IAT表,我们得手动去找一下IAT表
看操作!
009240C8 7C93188A ntdll.RtlDeleteCriticalSection IAT开始
00924270 00000000 IAT开始结束!
RVA=009240C8-基地址(00910000)=140C8
SIZE=00924270-009240C8=1A8
修复完IAT表后,我们试试DLL是否可用!
不好意思,不小心按到F2,录象专家中断了,我们继续
不可用,我们来修正重定位
先修改一下镜像基址!
重定位RVA:926000--基地址(00910000)=16000
SIZE:B57
好了,修正完重定位,我们试试,DLL这回是否能用呢?
OK了,内在美出现了...DLL可用!
大概就这样吧·
吾爱破解论坛是一个不错的技术论坛,请大家多多支持啊!!!
拜拜!!!!
教程下载地址:
http://www.fs2you.com/zh-cn/files/6f7d169c-3371-11dd-aea3-0014221f4662/
[url=http://www.namipan.com/d/ |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2008-6-6 11:31
发表于 2008-6-6 11:33
|
发表于 2008-6-6 11:43
