<菜鸟初学>exe去除dll记录(静态调用)

manyou · 发表于 2022-4-22 15:17

本帖最后由 manyou 于 2022-4-22 15:24 编辑

目的：卸载dll。（Delphi写的exe静态调用的dll）本文做为分享和记录
过程：由于没怎么接触过破解，也没什么汇编基础。所以觉得原程序有点复杂，就单独写了个demo，由简入繁。
描述：dll的代码

dll代码

exe的代码

运行exe效果（目录里必须有dll不然报错）
QQ截图20220422143845.png

开始卸载dll
首先上od打开exe。右键-查找-所有模块间的调用，找到dll的call，双击跳转到调用dll的位置。即：call <jmp.&MyDlllllllllllll.MySum>.
双击这一行，弹出这个dll声明的真实地址，call 00452690记录下来。
QQ截图20220422144319.png

1.将调用去除：将图中两行选中，右键-二进制-用NOP填充。
2.将声明去除：找到上面双击弹出来的地址，同样右键-二进制-用NOP填充。
QQ截图20220422144951.png

3.保存：右键-复制到可执行文件-所有修改-全部复制。在弹出窗再右键-保存文件-输入要保存的文件名（我输入了test.exe），确定即可。

刚开始我以为这样就完成了。双击test.exe弹出的值为0.
但是当我把同目录的MyDlllllllllllll删除以后，结果报错了。
QQ截图20220422145332.png

搜索了很多相关教程和文章，但都是记录Freelibrary的，即动态调用的方式或者叫inject的方式。
换了几种搜索方法，明白了这个静态调用，一开始是记录再exe的pe导入表里的即import table。（果然菜不光在经验上，还有很多基础知识和原理的欠缺）
于是查找如果删除exe的pe导入表，终于找到解决办法了。

使用工具[LordPE Deluxe] by yoda（感谢吾友提供）
1.打开LORDPE.exe - PE Editor - 选择test.exe
2.出现弹窗点击Directories - 出现弹窗点击ImportTable右侧的省略号 - 出现弹窗
3.找到MyDlllllllllllll.dll - 右键 - kill ImageImportDescriptor - 提示Done。
（这几步瞎摸索的，连教程也没看，有懂的希望能简单指导一下。多谢了）
QQ截图20220422151624.png

此时再次运行test.exe，同目录没有dll也正常运行了。。完成。
初次卸载静态dll，有很多不足，请多指教。

QQ截图20220422150753.png

manyou · 发表于 2022-4-24 11:39

krcakgege 发表于 2022-4-24 11:31
遇到很类似的，删除DLL后，不是应该提示软件不完整吗？？

不会啊，，声明和调用都改成nop了，pe的导入表也删了。。任何关联都没了。运行很正常啊。

manyou · 发表于 2022-4-24 14:24

krcakgege 发表于 2022-4-24 11:46
声明和调用都改成nop后，功能有没有影响，遇到一个把所有内容全部封装在DLL里，删除了不能运行，所有功能全 ...

哦哦，需求不一样。要删掉的这个dll只是判断注册表的用于加密的，，
我要做的就是nop掉所有跟这个dll相关的，然后删掉这个dll。

manyou · 发表于 2022-4-22 15:30

第一次发帖，，格式很乱，最后一张图不知道咋出来的，也不知道怎么删掉

其实是很简单的操作，但是自己基础差，写出来做个记录和分享，抛砖引玉把。

homehome · 发表于 2022-4-23 08:43

优秀

正好想找有关这方面的内容

adm!n · 发表于 2022-4-23 18:47

可以,抛砖引玉,一起学习

snake88 · 发表于 2022-4-23 21:46

厉害厉害

krcakgege · 发表于 2022-4-24 11:31

遇到很类似的，删除DLL后，不是应该提示软件不完整吗？？

krcakgege · 发表于 2022-4-24 11:46

声明和调用都改成nop后，功能有没有影响，遇到一个把所有内容全部封装在DLL里，删除了不能运行，所有功能全部在DLL里

ghimi · 发表于 2022-4-27 14:37

哇，可以的

帐号		自动登录	找回密码
密码			注册[Register]

[原创] <菜鸟初学>exe去除dll记录(静态调用)

免费评分

个人中心