本帖最后由 yyyz 于 2017-9-11 10:03 编辑
今天对一个dll文件进行分析,PEiD0.95查出来的是:yoda's Protector v1.02(.dll,.ocx) -> Ashkbiz Danehkar (h) *
上来就直接用ESP定律,不行,再用内存法,不行,最后单步法,搞了一下午没有搞定。
在网上查看很多关于yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *的帖子,但是都没有找到解决方法。
有人说是其它的壳伪装成这个壳,但我想只要是壳的话,至少单步法是行得通的呀。
(网上确实有人发帖,遇到了VMP伪装成yoda's Protector v1.02,但这哥们用单步法脱了它)
我再用ExEinfo PE V0.0.2.4 - 514 汉化版查壳,提示无壳!
接着在网上找了yoda's Protector v1.02脱壳工具,这工具脱不了dll文件,改成exe就好了
也是提示没有被yoda's Protector加壳
(从yoda's Protector脱壳工具脱不了dll文件,是不是可以反推出yoda's Protector加壳工具不能对dll文件加壳,也就说明这个dll文件加的壳不是yoda's Protector v1.02壳呢)
总结 用PEiD检测壳为:yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)*
有两种情况:
1)其他壳伪装成yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
2)没有加壳,作者加了花指令,伪装成yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
操作:
1、用其它PE工具检测确认它是不是其它壳伪装的;
2、如果是其它壳伪装,根据脱壳技术完全可以干掉它的;
3、如果花指令伪装,那就更简单了,去除花指令。
1、不要依赖一个PE工具,当不明确的时候换个PE工具试试; 2、多点新的尝试,不要限于自己的经验; 3、不懂网上搜索,用好网络工具;
ps
昨晚断电,没发成功 今天补上
时间:2017年9月11日 周一
| 
[复制链接]
发表于 2017-9-11 10:00
发表于 2017-9-11 10:10
