boot 发表于 2023-2-26 01:00

再补充一下找封装dll的文件名的几种方法:

方法1、将软件运行后,OD或者其他调试器附加,查看模块,是否出现标红或者释放的DLL,如果出现,记下这些dll名称和后缀;

方法2、将软件载入OD或者dbg,下断LoadLibraryExW 或者LoadLibraryExA 或者LoadLibraryA 或者LoadLibraryW ,观察寄存器或者堆栈,是否出现DLL名称或后缀,并记下;

方法3、火绒剑或者pchunter进程监控,查看模块里加载依赖的DLL,记下它们的名称和后缀;

52bug 发表于 2023-2-26 02:40

牛蛙牛蛙{:6_201:}

VipDongle 发表于 2023-2-26 08:14

收藏一个学习下

cqcbc 发表于 2023-2-26 08:48

感谢boot的实践和理论,收藏了。

wangxp 发表于 2023-2-26 08:54

学习一下新技能

woaini 发表于 2023-2-26 09:51

谢谢分享

fghtiger 发表于 2023-2-26 10:33

wl 内存加载dll 原始文件是加密的。再分段解密加载到内存,这个可以提取?

蚁上火 发表于 2023-2-26 10:52

谢谢分享-.-

hopes 发表于 2023-2-26 14:38

感谢boot的实践和理论

a1749598772 发表于 2023-2-26 15:36

学习boot大佬的方法
页: 1 2 3 [4] 5 6 7 8 9 10 11 12 13
查看完整版本: VMP_x86_x64壳封装类DLL的提取工具使用教程