手脱WinUpack加壳的dll文件顺序流程
大家好,爱内目亦思 “温柔刀客”,今天给大家讲的是脱dll壳 的文章。老鸟请拿起板砖拍我吧,嘿嘿,请看如下内容:
需要的一些工具有:
OD
lordpe
importREC
relox
dllloader
百度一下,有你好看。嘿嘿。
首先OD来到看下入口点
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/10052404148843d07737755050.jpg.thumb.jpg 下载 (45.68 KB)
2010-5-24 04:14
用ESP定律找oep
单步一次F8,然后在命令下输入 hr esp ,接着F9运行一次。就来到我们跳向入口的地方,
还等什么呢?Les go。
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/10052404157d6c3441749d1918.jpg.thumb.jpg 下载 (15.93 KB)
2010-5-24 04:15
再F8一次,就来到了菊花部分。
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/1005240414c41cb3a70c17ea51.jpg.thumb.jpg 下载 (45.23 KB)
2010-5-24 04:14
此时需要记录一下必要的地址:
OEP=10001000-10000000=1000
接着还需要找到IAT的地方,往下看。
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/10052404170f25e06a6b01a8ff.jpg.thumb.jpg 下载 (3.89 KB)
2010-5-24 04:17
回车一下,进入
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/1005240415ef39ecad294a60d4.jpg.thumb.jpg 下载 (52 KB)
2010-5-24 04:15
数据窗口跟随内存地址
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/1005240414beef4462059041bd.jpg.thumb.jpg 下载 (34.37 KB)
2010-5-24 04:14
IAT起始=10002000-10000000=2000
IAT大小=10002034-10002000=34
记录完之后呢。咱们就用Loadpe DUMP它。hoho。
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/10052404145c0dae34d9d0be3d.jpg.thumb.jpg 下载 (37.29 KB)
2010-5-24 04:14
再用importREC 写入记录好的地址修复, Oh My Gad。
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/10052404146b125d87129d01f7.jpg.thumb.jpg 下载 (27.02 KB)
2010-5-24 04:14
完了之后,该dllloader上阵,用dllloader选取我们加了壳的DLL,然后点Load,此时会出
来一个地址,我出现的地址为018C0000然后用Loadpe dump一下。命名11.dll
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/1005240414624cd49e60e862b8.jpg.thumb.jpg 下载 (41.25 KB)
2010-5-24 04:14
然后点Unload,接着在点Load一次,地址为011B0000同样Dump。命名22.dll
最后派出relox来压阵。加载我们的两个dll和对应的地址。一定要对应哦。来修复我们之前
Dump的dll
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/1005240414d3c2dd4bca278a73.jpg.thumb.jpg 下载 (47.67 KB)
2010-5-24 04:14
按顺序点fix修复。
看下修复的效果如何。
http://www.unpack.cn/images/default/attachimg.gif http://www.unpack.cn/attachments/month_1005/1005240414b67eb21f7148369e.jpg 下载 (22.13 KB)
2010-5-24 04:14
没有问题。
至此我的任务就结束了。感谢TV,感谢人民,感谢……的太多了,哈哈。有这么一个好的学习平台。希望能跟大大们交流,我只是个小卒而已,不知道大大们稀罕我不^_^!!!
2010-5-24 感謝大大分享脫 dll 殼教學. 图片贴本地来
页:
[1]