吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 16841|回复: 17
收起左侧

[转贴] ReloX修复DLL脱壳重定位表的简便方法——用OllyDBG手脱Neolite加壳的DLL

[复制链接]
Hmily 发表于 2015-7-11 22:22
ReloX修复DLL脱壳重定位表的简便方法——用OllyDbg手脱Neolite加壳的DLL
http://www.unpack.cn/thread-237-1-1.html

【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
            
【调试环境】:WinXP、Ollydbg V1.10、PEiD、LordPE、WinHex、ReloX
            
—————————————————————————————————
【脱壳过程】:
         
         
某些壳保护的DLL脱壳时重定位表修复让人头痛,偶然发现了ReloX修复重定位表的工具,试验了几次居然成功了,所以写个简单的过程

加以推广这个工具。由于比较忙,所以只测试了Neolite和UPX加壳DLL的重定位表修复,其它壳大家再多测试吧。
EdrLib.dll是Neolite V2.0最大比例压缩,加密了重定位表,无法自动脱壳。
—————————————————————————————————
一、Entry Point
            
            
Neolite是压缩壳,OEP非常容易走到。

003D710F     E9 A6000000       jmp EdrLib.003D71BA
//进入Ollydbg后暂停在这
003D71BA     8B4424 04         mov eax,dword ptr ss:[esp+4]
003D71BE     2305 20713D00     and eax,dword ptr ds:[3D7120]
003D71C4     E8 ED040000       call EdrLib.003D76B6
003D71C9     FE05 B9713D00     inc byte ptr ds:[3D71B9]
003D71CF     FFE0              jmp eax
//这里就是跳向OEP的地方!:-)  在这里“埋伏”个断点,开始第二步操作
                     

—————————————————————————————————
二、适当的Dump时机:搞定输入表


下断:BP VirtualProtect
中断后取消断点,Alt+F9返回

003D7B22     FF55 7A           call dword ptr ss:[ebp+7A]; kernel32.VirtualProtect
003D7B25     FF75 66           push dword ptr ss:[ebp+66]
003D7B28     8D55 A2           lea edx,dword ptr ss:[ebp-5E]
003D7B2B     8D85 5EFDFFFF     lea eax,dword ptr ss:[ebp-2A2]
003D7B31     FF75 5A           push dword ptr ss:[ebp+5A]
003D7B34     8B4F 0C           mov ecx,dword ptr ds:[edi+C]
003D7B37     E8 B4030000       call EdrLib.003D7EF0
//区段解压
003D7B3C     8B55 0A           mov edx,dword ptr ss:[ebp+A]
003D7B3F     8B47 04           mov eax,dword ptr ds:[edi+4]
003D7B42     8B52 24           mov edx,dword ptr ds:[edx+24]
003D7B45     25 00000080       and eax,80000000
003D7B4A     81E2 00000080     and edx,80000000
003D7B50     39D0              cmp eax,edx
003D7B52     0F84 60FFFFFF     je EdrLib.003D7AB8
003D7B58     F647 04 20        test byte ptr ds:[edi+4],20
003D7B5C     0F84 4FFFFFFF     je EdrLib.003D7AB1
003D7B62     C745 AA 20000000  mov dword ptr ss:[ebp-56],20
003D7B69     E9 4AFFFFFF       jmp EdrLib.003D7AB8
//循环
003D7B6E     837E 24 00        cmp dword ptr ds:[esi+24],0
//F4到这里   [esi+24]=[003E4024]=0000442C     输入表的RVA! ★
003D7B72     0F84 1D010000     je EdrLib.003D7C95

现在程序代码已经解开,API函数的系统地址还没有填充进IAT,也没有重定位,还等什么?运行LordPE完全Dump出这个dll。


—————————————————————————————————
三、飞向光明之巅


Dump完毕之后直接F9运行,中断在我们首先“埋伏”的断点处。
003D71CF     FFE0              jmp eax  ; EdrLib.003D11C9
//飞向光明之巅!:-)

003D11C9     55                push ebp
//OEP
003D11CA     8BEC              mov ebp,esp
003D11CC     53                push ebx
003D11CD     8B5D 08           mov ebx,dword ptr ss:[ebp+8]


—————————————————————————————————
四、PE修正


用LordPE修正dumped.dll的OEP RVA=000011C9,Import Table RVA=0000442C,IAT RVA可以清零。
删除Oreloc、.neolit、.reloc三个区段,用WinHex移除00006000至末尾的壳数据。

输出表没有加密,可以用LordPE来察看。RVA=000070A2 Size=6D
WinHex打开EdrLib.dll,把偏移0X10A2处的06D字节复制出来;在dumped.dll中找一点空地,把其挪至4900处吧
修正dumped.dll的Export Table RVA=00004900,Size一样。
当然要修正相关数据了:
->Export Table
   Characteristics:        0x00000000
   TimeDateStamp:          0x3DC70847  (GMT: Mon Nov 04 23:52:39 2002)
   MajorVersion:           0x0000
   MinorVersion:           0x0000  -> 0.00
   Name:                   0x000070DE  ("EdrLib.dll") ==>修改为:0x0000493C
   Base:                   0x00000001
   NumberOfFunctions:      0x00000002
   NumberOfNames:          0x00000002
   AddressOfFunctions:     0x000070CA                 ==>修改为:0x00004928
   AddressOfNames:         0x000070D2                 ==>修改为:0x00004930
   AddressOfNameOrdinals:  0x000070DA                 ==>修改为:0x00004938

   Ordinal RVA        Symbol Name
   ------- ---------- ----------------------------------
   0x0001  0x00001010 "_EdrCenterTextA@12"
   0x0002  0x00001080 "_EdrCenterTextW@12""

可以直接用WinHex修改:

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F   //原来的输出表
000010A0         00 00 00 00 47 08  C7 3D 00 00 00 00 DE 70     
000010B0   00 00 01 00 00 00 02 00  00 00 02 00 00 00 CA 70   
000010C0   00 00 D2 70 00 00 DA 70  00 00 10 10 00 00 80 10
000010D0   00 00 E9 70 00 00 FC 70  00 00 00 00 01 00 45 64   
000010E0   72 4C 69 62 2E 64 6C 6C  00 5F 45 64 72 43 65 6E   rLib.dll._EdrCen
000010F0   74 65 72 54 65 78 74 41  40 31 32 00 5F 45 64 72   terTextA@12._Edr
00001100   43 65 6E 74 65 72 54 65  78 74 57 40 31 32 00      CenterTextW@12.

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F   //修改的输出表
00004900   00 00 00 00 47 08 C7 3D  00 00 00 00 3C 49 00 00   
00004910   01 00 00 00 02 00 00 00  02 00 00 00 28 49 00 00   
00004920   30 49 00 00 38 49 00 00  10 10 00 00 80 10 00 00
00004930   47 49 00 00 5A 49 00 00  00 00 01 00 45 64 72 4C   GI..ZI......EdrL
00004940   69 62 2E 64 6C 6C 00 5F  45 64 72 43 65 6E 74 65   ib.dll._EdrCente
00004950   72 54 65 78 74 41 40 31  32 00 5F 45 64 72 43 65   rTextA@12._EdrCe
00004960   6E 74 65 72 54 65 78 74  57 40 31 32 00            nterTextW@12.

只保留LordPE的“ValIDAte PE”选项,对dumped.dll重建PE。


—————————————————————————————————
五、ReloX:修复重定位表的“通用”简便方法


ReloX V1.0的作者是牛人MackT/uCF2000,即Import REConstructor的作者。
ReloX可以通过比较不同基址的Dump文件,确定重定位表。

感谢好友WiNroot,特地写了个DLL_LoadEX。用看雪老大的DLL_Loader也可以。
把EdrLib.dll复制一份,然后用DLL_LoadEX载入EdrLib.dll和复制EdrLib.dll,注意两个进程的基址。

用LordPE直接把这2个DLL进程Dump出来,另存为1.dll(ImageBase=01040000)和2.dll(ImageBase=01060000)
为了减小体积,删除1.dll和2.dll的Oreloc、.neolit、.reloc三个区段,用WinHex移除00006000至末尾的数据

运行ReloX,选择1.dll和2.dll,分别填入其相应的基址,点ComPare,稍等,分析完毕。
Fix PE Module,提示dumped_.dll保存成功。ReloX已经自动修正了Relocation RVA和Size!


—————————————————————————————————
六、尾声


现在脱壳后的DLL已经可以运行了。但是用Ollydbg载入时会弹出“Module EdrLib has empty code section”的提示,感谢超人heXer,指教

是BaseOfCode的缘故,00007000已经被删掉了,所以提示错误。可以把BaseOfCode修正为00001000,这样就不会提示了。如果想做的完

美点,还可以把BaseOfData、SizeOfCode等修正。


—————————————————————————————————   
                                
         ,     _/
        /| _.-~/            \_     ,        青春都一晌
       ( /~   /              \~-._ |\
       `\\  _/                \   ~\ )          忍把浮名
   _-~~~-.)  )__/;;,.          \_  //'
  /'_,\   --~   \ ~~~-  ,;;\___(  (.-~~~-.        换了破解轻狂
`~ _( ,_..--\ (     ,;'' /    ~--   /._`\
  /~~//'   /' `~\         ) /--.._, )_  `~
  "  `~"  "      `"      /~'`\    `\\~~\   
                         "     "   "~'  ""
   
              UnPacaKed By :  fly
               2004-12-22 18:00

ReloX修复DLL脱壳重定位表的简便方法——用Ollydbg手脱Neolite加壳的DLL.rar

278.89 KB, 下载次数: 390, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 1热心值 +1 收起 理由
淘米锅 + 1 热心回复!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

zhaohj 发表于 2015-7-16 10:27
本帖最后由 zhaohj 于 2015-7-16 10:35 编辑

"为了减小体积,删除1.dll和2.dll的Oreloc、.neolit、.reloc三个区段,用WinHex移除00006000至末尾的数据"
点ComPare前,上面有个“select section",不要选中这3个节就可。这个可放在第二步。
"是BaseOfCode的缘故,00007000已经被删掉了,所以提示错误。可以把BaseOfCode修正为00001000,这样就不会提示了"
这个可用CFF Explorer删除节(头部和数据),再点重建器,重建就可。这个可放在第一步。

朱朱你堕落了 发表于 2016-4-19 10:28
老大,看这个原贴子的发表时间都是2004年的了,我想这个工具ReloX应该老了吧,还是说,一直到现在大家都还在用这个工具来修复重定位,有没有新的给力的工具啊,
必竟现在都2016年了,有没有比这个工具更给力的新工具出现呢? 求推荐啊,谢谢。第一次学习DLL脱壳,所以先把工具找好。

点评

http://www.52pojie.cn/search.php?mod=forum&searchid=2481&orderby=lastpost&ascdesc=desc&searchsubmit=yes&kw=Relo  详情 回复 发表于 2016-4-19 10:39
冰楓丶殘瀷 发表于 2015-7-11 22:24
920289899 发表于 2015-7-11 22:29
爱死吾破解论坛了  来顶顶
caleb110 发表于 2015-7-11 22:30
谢谢H大,学习啦!
梦游枪手 发表于 2015-7-11 22:37
前排支持H大
Amala 发表于 2015-7-11 22:38
感谢H大,学习了,来顶顶
蚯蚓翔龙 发表于 2015-7-11 23:19
留着等学习
sai沈 发表于 2015-7-12 00:13
来学习一下!
xiawan 发表于 2015-7-13 09:12
真是好教程啊~~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-21 19:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表