吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 10853|回复: 317

[原创逆向图文] 快速提取程序中的DLL(不是100%成功)

  [复制链接]
保安 发表于 2021-12-29 23:27 | 显示全部楼层 |阅读模式

本帖最后由 保安 于 2022-1-1 00:26 编辑

逆向环境:物理机WIN10
涉及工具:7-zip、任务管理器(系统自带)、(x32dbg)
教程类型:攻防战
是否讲解思路和原理:是
以下为图文内容
1.普通无壳程序(例如 易 C++ 等。不包含.net)我这里使用的是7-zip,可能需要一样,如果使用其他工具也能实现请回帖告知
先写一个demo程序
1-1.导入资源表
61cc4fa03e636.png
1-2.调用该资源(如果不调用依旧无法提取 并且程序体积不会包含该dll)
61cc4ff41f6b6.png
然后编译
1-3.使用7-zip打开
61cc5038d0a1c.png
这里点击# 或者#:e都可以,但是#只会列出资源表内第一个dll。如果点击#:e则会列出所有
61cc50907ca61.png
这里直接提取即可获取到dll

原理:当你把dll添加进引用资源表,并且编译后,由于该文件是一个动态链接库,包含了PE头格式,所以当你尝试使用zip格式打开时,则会出现资源表里面的文件(dll/exe)

----------我是一条分割线----------

1.解决方法(未加壳)
1-1.加密过程
61cc523fe65d1.png
1-2.点击按钮后输出了一个加密dll
61cc52a892e7c.png
1-3.注入时解密过程
先引用已加密的dll
61cc531a1eb2f.png
61cc57e9b3f12.png
1-4.使用7-zip打开,已经无法看见加密后的dll
61cc589fe141a.png

原理:当你将该文件(dll)加密时,PE头已发生变化(已经变成非动态链接库),此时(7-zip)不会再显示该文件

虽然dll已经加密,但是依旧可以看到解密密码,能不能成功解密,只能看逆向者的毅力(需要慢慢找dll的大小,并且拷贝出来解密。但是如果大小不一样,解密结果也会跟正常的不一样。)——并不是说无法逆向,只是提高了逆向难度


----------我是一条分割线----------

2.加了VMP的(易-未加密DLL)(不含.net)

2-1.去掉加密过程,以免影响结果(添加’号进行注释)
61cc5b927a53d.png
2-2.将注入方式改回直接注入并编译
61cc5c88909a6.png
2-3.加上VMP3.5(保护全开)

61cc5d43f1025.png
61cc5da6857f9.png
61cc5e3674922.png
2-4.打开该程序后,打开任务管理器(快捷键Ctrl+Shift+Esc,也可以通过右键任务栏(默认在底部)-任务管理器 打开)
右键该进程,点击“创建转储文件”
61cc5fcbc416d.png
游客,如果您要查看本帖隐藏内容请回复


2022-01-01这里补上一个内存运行模块,方便大家研究:https://wwi.lanzouw.com/ibNQey7defi易语言的关键数据应该都在.rdata区段里,建议(dump后)直接在里面搜索本人不太会表达,如有疏漏,请多多包涵
请留下你的hb



点评

Shark恒”点评说:
该文章于2022年1月5日发表在“吾爱汇编”公众号。  发表于 2022-1-4 12:42

评分

参与人数 139威望 +1 HB +254 THX +69 收起 理由
爱编 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
29590 + 2 + 1
shhejjjeru + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
奇思妙想 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
快乐西游 + 1
无赖呗 + 1
发士大夫 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
sotest + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
白白茶茶 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
叁壹伍 + 1
坏男人逆向 + 1 新手看不懂,但是看着很牛就对了,谢谢分享
浅酌◇咖啡 + 1 + 1
attackmyth + 2 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
78963678 + 1
张八戒 + 1 + 1
ACZR + 2
水清流 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
覃永旺 + 1
云淡风轻水上 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
暮雨烟然 + 1 + 1
Jawon + 1
辰一一风 + 1
mingjun320 + 1 + 1
nhhyj122 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
decajoins + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
bing_mao + 1
太阳神 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
sjtkxy + 1 + 1
李卓吾 + 1
459121520 + 1
WolfKing + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
后学真 + 1
雪山肥狐 + 1
邂逅涟漪 + 1
仙仙猫 + 1
极速菜 + 1
行行行行行行 + 1
124713549 + 1
随机出现 + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
看云起云落夕阳 + 1
houtai1331 + 1
纯英文 + 1
风里去 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
yexing + 1
大表哥学技术 + 1
a769996085 + 1 + 1
小黑白又白 + 1
l278785481 + 1
禽大师 + 1

查看全部评分

本帖被以下淘专辑推荐:

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
ST手怎么白了 发表于 2021-12-30 00:19 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2021-12-29 23:44 | 显示全部楼层

讲解原理便是精华!感谢你的作品,为大家带来知识!

评分

参与人数 1HB +1 收起 理由
116049762 + 1

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
狐白小刺客 发表于 2021-12-29 23:52 | 显示全部楼层

简单xor +btc就够了,资源放加密的,进程中动态解密写出够了,虽然结局还是一样要写出文件,只要对文件做个加密通讯,比如rsa 4096往上 组合加密都可以
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Jrhaoge 发表于 2021-12-29 23:51 | 显示全部楼层

感谢分享看开隐藏
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 保安 发表于 2021-12-29 23:59 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 保安 发表于 2021-12-30 00:01 | 显示全部楼层

狐白小刺客 发表于 2021-12-29 23:52
简单xor +btc就够了,资源放加密的,进程中动态解密写出够了,虽然结局还是一样要写出文件,只要对文件做个 ...

如果是内存注入的方式,可以直接在内存里面解密,不用写出文件,这样可以大大减少被dump的几率。但是远程线程注入貌似必须写出dll,较容易被提出
不过感谢大牛提点 我再学习学习
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
lies 发表于 2021-12-30 00:08 | 显示全部楼层

谢谢分享,受教了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
jzh 发表于 2021-12-30 00:12 | 显示全部楼层

来看看  谢谢分享

评分

参与人数 1THX +1 收起 理由
胡鑫鑫 + 1

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 保安 发表于 2021-12-30 00:24 | 显示全部楼层

ST手怎么白了 发表于 2021-12-30 00:19
教程用心 看得出来 支持

感谢大牛支持
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
赞帖
赞帖
赞帖
3层
5层
6层
7层
8层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表