手脱WinUpack加壳的dll文件顺序流程

温柔刀客

大家好,爱内目亦思 “温柔刀客”，今天给大家讲的是脱dll壳 的文章。老鸟请拿起板砖拍我

吧，嘿嘿，请看如下内容：

需要的一些工具有：
OD
lordpe
importREC
relox
dllloader

百度一下，有你好看。嘿嘿。

首先OD来到看下入口点
下载 (45.68 KB)
2010-5-24 04:14


用ESP定律找oep

单步一次F8，然后在命令下输入 hr esp ，接着F9运行一次。就来到我们跳向入口的地方，

还等什么呢？Les go。

下载 (15.93 KB)
2010-5-24 04:15



再F8一次，就来到了菊花部分。

下载 (45.23 KB)
2010-5-24 04:14



此时需要记录一下必要的地址：

OEP=10001000-10000000=1000

接着还需要找到IAT的地方，往下看。

下载 (3.89 KB)
2010-5-24 04:17



回车一下，进入

下载 (52 KB)
2010-5-24 04:15



数据窗口跟随内存地址

下载 (34.37 KB)
2010-5-24 04:14



IAT起始=10002000-10000000=2000

IAT大小=10002034-10002000=34

记录完之后呢。咱们就用Loadpe DUMP它。hoho。

下载 (37.29 KB)
2010-5-24 04:14



再用importREC 写入记录好的地址修复， Oh My Gad。

下载 (27.02 KB)
2010-5-24 04:14



完了之后，该dllloader上阵，用dllloader选取我们加了壳的DLL，然后点Load，此时会出

来一个地址，我出现的地址为018C0000  然后用Loadpe dump一下。命名11.dll

下载 (41.25 KB)
2010-5-24 04:14



然后点Unload，接着在点Load一次，地址为011B0000  同样Dump。命名22.dll

最后派出relox来压阵。加载我们的两个dll和对应的地址。一定要对应哦。来修复我们之前

Dump的dll  

下载 (47.67 KB)
2010-5-24 04:14



按顺序点fix修复。

看下修复的效果如何。

下载 (22.13 KB)
2010-5-24 04:14



没有问题。

至此我的任务就结束了。感谢TV，感谢人民，感谢……的太多了，哈哈。有这么一个好的学习平台。希望能跟大大们交流，我只是个小卒而已，不知道大大们稀罕我不^_^！！！

                                    2010-5-24

a2213572

感謝大大分享脫 dll 殼教學.

Hmily

图片贴本地来