dll脱壳修复
本帖最后由 1156009305 于 2019-7-2 08:41 编辑这是一个劫持的dll
有个简单的二次验证,直接拖进od数据是加密的,运行会退出、查壳的话显示的是upx
首先想到的肯定是脱壳机...试了一下发现upk的脱壳机会报错,不能解压缩,于是就ESP手动脱
载入之后单步F8 到这之后 下硬件断点
然后F9运行,后面的步骤因为忘了截图就不一 一赘述了,
经过就是找oep,脱壳,lordpe修复之后再次查壳
下方已经出现了.mackt 区段
拖入od后直接到达oep位置
按理说这样已经算是不美的脱壳了、
但是这个dll放进文件中是无法运行的,也就是说没有被调用
于是自己上网开始查找相关的信息,
查到dll脱壳之后貌似要进行重定位修复,
于是看了https://www.52hb.com/forum.php?mod=viewthread&tid=39653&highlight=%CA%D6%CB%BAupk
岁月大佬的帖子
利用scylla工具照猫画虎简单的修复了一下- -.果然还是不行,dll无法运行,而且操作中很多细节问题对不上。
特此请求各位大表哥小表哥大表姐小表妹的帮助
以上就是我的分析过程。
后面因为下的工具和脱壳的dll太多了,桌面特别乱,就没有截图scylla修复的步骤,见谅
以下是查毒和dll的链接
https://www.lanzouw.com/i4snzxi
估计完美脱壳对大佬们都没什么难度,但是小菜也想学习一下,希望可以出个详细一些的脱壳修复教程,谢谢
ps:不需要大佬们分析它的二次验证,只需完美脱壳让od可以分析代码即可。
另外如果有加壳dll打hook补丁的有效方法和教程,也可以给分,不局限一种方式
{:5_187:}小菜在此拜谢了
1156009305 发表于 2019-7-2 17:14
表哥,用lordPE修改镜像基质后成功的加载了
单步F8运行几次后下了硬件断点
mov esi,0*1A035A0这里是需要变化的,我不知道你看了我给你的图片没有,区段改了,这里的地址就要变,1改2 手动 @【By】岁月无痕大表哥 别沉别沉,大表哥们快来啊 工具运用起来 小米脱壳PackerBreaker 幽灵and九幽 发表于 2019-7-1 21:58
工具运用起来 小米脱壳PackerBreaker
谢谢你的建议,已尝试,是不行的 自顶一下,表哥们看看啊 用心讨论,共获提升! 1156009305 发表于 2019-7-1 20:14
手动 @【By】岁月无痕大表哥
我试了一遍,这个和我视频的壳子试差不多的,没有什么太大难度,可能你的问题出现在了第二次脱壳,哪里需要改下区段头部和地址,也就是1变成2就可以了! 看图片,还是不行就看教程去。