吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14130|回复: 27
收起左侧

[分享] 【黑鹰笔记】手脱Aspack壳的DLL

[复制链接]
Martin 发表于 2014-10-28 22:47
本帖最后由 Martin 于 2014-10-30 09:31 编辑

手脱Aspack壳的DLL
       相信大家都脱过AspackDLL,这里呢我只是总结一下脱Aspack的方法,望大牛们勿喷,首先先看一下整体的应用程序。
0.png
    上图中的CQHX.DLLAspack的壳,而WGSHELL.DLLUPX的壳,用上一次那个脚本可以到达OEP,下面来查一下CAHX.DLL的壳(如下图所示)

1

1
这里说一个简单地方法就可以找到重定位地址的方法,我们可以CTRL+F搜下面这段代码来进行查找:
[Asm] 纯文本查看 复制代码
sub ecx,8
shr ecx,1
    那么就可以找到这里位置处:

2

2
    图中我们看到了搜的这段代码上面有两个跳转je,最上面的那个je就是magic jmp所以不能让他跳转过去,而mov esidword ptr ds[ebp+539]这个位置处就是存放DLL的地址处,接下来不在magic jmp处下断点,要在magic jmp上面这个跳转处下断点F2,然后点击运行:

3

3
然后单步走运行到mov esi,dword ptr ds:[ebp+539]这段代码处看一下重定位的地址为多少!

4

4
这样就获取到了重定位的地址了,然后我们就单步运行,单步走的原则是远跳转F8,近跳转F7,其实我们往下拉就可以看到结尾了到这里之后。

5

5
这里就是OEP了,通过上面图片它会在100773C0处返回到OEP:

6

6

接下来的任务就是修改重定位地址和入口地址之后再输入表的重建,这里只是纪录一个快速找到DLL重定位地址的方法。既然我们已经找到了DLLOEP之后,我们就开始dump文件。

7

7
将OD(LoadDll.Eex)中的DLL程序Dump完了之后,就可以对dump后的文件进行修复了,下面我们将dump后的文件载入到LoadPE中。点击PE编辑器选择我们要修复的文件。

8

8
首先要修复的是下面是原来没有进行修复的程序的入口点这里面现实的是77001,但是通过上面图片上显示的是OEP地址是4CF20这个地址,那么就需要将这个我入口点改为4CF20后点击保存,注意要点击保存按钮。

9

9
然后再点击目录对重定位地址进行修改,将这个原来重定位地址为77F54改为70000(上面我们找到的重定位地址):

10

10
修改重定位地址为70000后点击保存,再点击确认,到了上一级界面是又要点击保存再点击确认。这样程序就可以了,然后再对输入表进行修复。打开ImportREC选取LoadDll.exe这个进程进行选择Dll,然后将OEP改为程序的OEP之后,再将无效的剪掉,载入到脱壳后的程序就可以运行了。

11

11


本来想放在百度网盘上的,可惜百度查的比较严一直分享失效!只能委屈各位花1CB了!!
多多加些热心值吧!各位大神们

9-手 脱ASPack的DLL.rar

1.01 MB, 下载次数: 182, 下载积分: 吾爱币 -1 CB

课件

免费评分

参与人数 6威望 +1 吾爱币 +4 热心值 +4 收起 理由
qiulujun + 1 用心讨论,共获提升!
猫捉老虎 + 1 + 1 用心讨论,共获提升!
610100 + 2 + 1 谢谢@Thanks!
Hmily + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
421717582 + 1 鼓励转贴优秀软件安全工具和文档!
t475930073 + 1 已经处理,感谢您对吾爱破解论坛的支持!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

firefly 发表于 2014-10-30 11:51
                 先赞一个        学习咯
我必须_说谎 发表于 2014-10-28 23:16
 楼主| Martin 发表于 2014-10-28 23:26
 楼主| Martin 发表于 2014-10-28 23:27
这是我的笔记不是转帖!
@421717582
头像被屏蔽
421717582 发表于 2014-10-28 23:34
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| Martin 发表于 2014-10-28 23:46
421717582 发表于 2014-10-28 23:34
随便点了下评语,意在加分

我错了!!!谢谢谢谢谢谢
f22 发表于 2014-10-29 00:05
谢谢楼主分享
Hmily 发表于 2014-10-29 15:49
加油把重定位表修复也加上吧,dll与exe的脱壳修复主要就在重定位表了。
 楼主| Martin 发表于 2014-10-29 18:53
Hmily 发表于 2014-10-29 15:49
加油把重定位表修复也加上吧,dll与exe的脱壳修复主要就在重定位表了。

好!知道了H大
 楼主| Martin 发表于 2014-10-29 19:59
Hmily 发表于 2014-10-29 15:49
加油把重定位表修复也加上吧,dll与exe的脱壳修复主要就在重定位表了。

H大,我已经补全了!

点评

没太看懂,重定位那是怎么修复的?  详情 回复 发表于 2014-10-29 22:59
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-6-16 00:47

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表