快速提取程序中的DLL（不是100%成功）

发布者: 保安 | 发布时间: 2021-12-29 23:27| 查看数: 23204| 评论数: 349|帖子模式

本帖最后由保安于 2022-1-1 00:26 编辑

逆向环境：物理机WIN10
涉及工具：7-zip、任务管理器（系统自带）、（x32dbg）
教程类型：攻防战
是否讲解思路和原理：是
以下为图文内容：
1.普通无壳程序（例如易 C++ 等。不包含.net）我这里使用的是7-zip，可能需要一样，如果使用其他工具也能实现请回帖告知
先写一个demo程序
1-1.导入资源表

1-2.调用该资源（如果不调用依旧无法提取并且程序体积不会包含该dll）

然后编译
1-3.使用7-zip打开

这里点击# 或者#:e都可以，但是#只会列出资源表内第一个dll。如果点击#:e则会列出所有

这里直接提取即可获取到dll

原理：当你把dll添加进引用资源表，并且编译后，由于该文件是一个动态链接库，包含了PE头格式，所以当你尝试使用zip格式打开时，则会出现资源表里面的文件（dll/exe）

----------我是一条分割线----------

1.解决方法（未加壳）
1-1.加密过程

1-2.点击按钮后输出了一个加密dll

1-3.注入时解密过程
先引用已加密的dll

1-4.使用7-zip打开，已经无法看见加密后的dll

原理：当你将该文件（dll）加密时，PE头已发生变化（已经变成非动态链接库），此时（7-zip）不会再显示该文件

虽然dll已经加密，但是依旧可以看到解密密码，能不能成功解密，只能看逆向者的毅力（需要慢慢找dll的大小，并且拷贝出来解密。但是如果大小不一样，解密结果也会跟正常的不一样。）——并不是说无法逆向，只是提高了逆向难度

----------我是一条分割线----------

2.加了VMP的（易-未加密DLL）（不含.net）

2-1.去掉加密过程，以免影响结果（添加’号进行注释）

2-2.将注入方式改回直接注入并编译

2-3.加上VMP3.5（保护全开）

2-4.打开该程序后，打开任务管理器（快捷键Ctrl+Shift+Esc，也可以通过右键任务栏（默认在底部）-任务管理器打开）
右键该进程，点击“创建转储文件”

游客，如果您要查看本帖隐藏内容请回复

2022-01-01这里补上一个内存运行模块，方便大家研究：https://wwi.lanzouw.com/ibNQey7defi易语言的关键数据应该都在.rdata区段里，建议（dump后）直接在里面搜索本人不太会表达，如有疏漏，请多多包涵
请留下你的hb

逆向, VMP, SE

点评

“Shark恒”点评说：

该文章于2022年1月5日发表在“吾爱汇编”公众号。发表于 2022-1-4 12:42

评分

参与人数 146	HB +257	THX +73	收起理由
居然要中文		+ 1	[吾爱汇编论坛52HB.COM]-学破解防破解，知进攻懂防守！
九天一叶		+ 1
有容乃大		+ 1
哈利波特星辰	+ 1
初一同学	+ 1
猫妖的故事	+ 1
lies		+ 1
爱编		+ 1	[吾爱汇编论坛52HB.COM]-感谢楼主热心分享，小小评分不成敬意！
29590	+ 2	+ 1
shhejjjeru	+ 1		[吾爱汇编论坛52HB.COM]-吃水不忘打井人，给个评分懂感恩！
奇思妙想	+ 1		[吾爱汇编论坛52HB.COM]-吃水不忘打井人，给个评分懂感恩！
快乐西游	+ 1
无赖呗	+ 1
发士大夫		+ 1	[吾爱汇编论坛52HB.COM]-软件反汇编逆向分析，软件安全必不可少！
sotest	+ 2	+ 1	[吾爱汇编论坛52HB.COM]-学破解防破解，知进攻懂防守！
白白茶茶	+ 1		[吾爱汇编论坛52HB.COM]-感谢楼主热心分享，小小评分不成敬意！
叁壹伍	+ 1
坏男人逆向	+ 1		新手看不懂，但是看着很牛就对了，谢谢分享
浅酌◇咖啡	+ 1	+ 1
attackmyth	+ 2		[吾爱汇编论坛52HB.COM]-软件反汇编逆向分析，软件安全必不可少！
78963678		+ 1
张八戒	+ 1	+ 1
ACZR	+ 2
水清流	+ 2	+ 1	[吾爱汇编论坛52HB.COM]-吃水不忘打井人，给个评分懂感恩！
覃永旺		+ 1
云淡风轻水上	+ 1		[吾爱汇编论坛52HB.COM]-感谢楼主热心分享，小小评分不成敬意！
暮雨烟然	+ 1	+ 1
Jawon		+ 1
辰一一风	+ 1
mingjun320	+ 1	+ 1
nhhyj122	+ 1		[吾爱汇编论坛52HB.COM]-吃水不忘打井人，给个评分懂感恩！
虚心学习	+ 1		[吾爱汇编论坛52HB.COM]-吃水不忘打井人，给个评分懂感恩！
decajoins		+ 1	[吾爱汇编论坛52HB.COM]-感谢楼主热心分享，小小评分不成敬意！
bing_mao	+ 1
太阳神	+ 2	+ 1	[吾爱汇编论坛52HB.COM]-吃水不忘打井人，给个评分懂感恩！
sjtkxy	+ 1	+ 1
李卓吾		+ 1
459121520		+ 1
WolfKing		+ 1	[吾爱汇编论坛52HB.COM]-吃水不忘打井人，给个评分懂感恩！
后学真	+ 1
雪山肥狐	+ 1
邂逅涟漪	+ 1
仙仙猫	+ 1
极速菜		+ 1
行行行行行行	+ 1
124713549	+ 1
随机出现	+ 2	+ 1	[吾爱汇编论坛52HB.COM]-学破解防破解，知进攻懂防守！
看云起云落夕阳	+ 1
houtai1331	+ 1
纯英文		+ 1

查看全部评分

最新评论

ST手怎么白了 发表于 2021-12-30 00:19

教程用心看得出来支持

Shark恒 发表于 2021-12-29 23:44

讲解原理便是精华！感谢你的作品，为大家带来知识！

评分

参与人数 1	HB +1	收起理由
116049762	+ 1

查看全部评分

狐白小刺客 发表于 2021-12-29 23:52

简单xor +btc就够了，资源放加密的，进程中动态解密写出够了，虽然结局还是一样要写出文件，只要对文件做个加密通讯，比如rsa 4096往上组合加密都可以

Jrhaoge 发表于 2021-12-29 23:51

感谢分享看开隐藏

保安 发表于 2021-12-29 23:59

Shark恒发表于 2021-12-29 23:44
讲解原理便是精华！感谢你的作品，为大家带来知识！

感谢恒大支持

保安 发表于 2021-12-30 00:01

狐白小刺客发表于 2021-12-29 23:52
简单xor +btc就够了，资源放加密的，进程中动态解密写出够了，虽然结局还是一样要写出文件，只要对文件做个 ...

如果是内存注入的方式，可以直接在内存里面解密，不用写出文件，这样可以大大减少被dump的几率。但是远程线程注入貌似必须写出dll，较容易被提出
不过感谢大牛提点我再学习学习

lies 发表于 2021-12-30 00:08

谢谢分享，受教了

jzh 发表于 2021-12-30 00:12

来看看谢谢分享

评分

参与人数 1	THX +1	收起理由
胡鑫鑫	+ 1

查看全部评分

保安 发表于 2021-12-30 00:24

ST手怎么白了发表于 2021-12-30 00:19
教程用心看得出来支持

感谢大牛支持

12 3 4 5 6 7 8 9 10 ... 35 / 35 页下一页

		自动登录	找回密码
密码			立即注册