吾爱汇编论坛

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 31346|回复: 500

[原创逆向图文] DLL二次验证解决方法之“完美”脱壳修复

  [复制链接]

  离线 

1156009305 发表于 2019-7-4 01:58 | 显示全部楼层 |阅读模式

本帖最后由 1156009305 于 2019-7-4 09:14 编辑

大家好!我是论坛的1156xxxxx,
今天给大家带来一个dll脱壳修复的教程,适用于一部分DLL的二次验证
这是我也首次发布教程,有问题的地方大家多多指正
记得要评论投币评分素质三连哦

首先感谢一下@【By】岁月无痕 的细心指导,严谨来说,本次图文算是翻录一次岁月表哥教程、
岁月表哥视频讲的很详细,只不过这个DLL跟岁月表哥逆向的略有差异,所以分享一下
本教程可能有大量的图片,如果不喜欢看图的可以去看下岁月表哥的帖子
https://www.52hb.com/thread-39653-1-1.html

第一步:查壳
1.png
PEid显示是UPX的壳子,首先想到的肯定是脱壳机,然而在尝试了3-5种脱壳机之后都宣布失败,
于是想起了江湖失传已经的绝技:ESP定律


第二步:准备逆向工具
我们需要准备以下几款工具,百度或论坛都可以找到,我就不提供了

1.oD
2.LordPE
3.Scylla_86
4.ReloX
5.良好的视力

16.png

第三步:脱壳
ESP定律就不用我多赘述了吧,大家应该都会,不会的去看下恒大的脱壳教程
这里需要强调的是,如果直接用OD脱壳然后用LordPE修复,EP段最后加上.mackt
这种脱壳方法exe软件是可以的,但是如果dll这样脱壳,dll会失效,小菜已经尝试过了

下硬件断点,F9运行,F8单步几次,就到达OEP了
有的dll脱壳可能需要下两次硬件断点(相当于脱两次),但是我这个只需要一次就搞定了
7.png

右键脱壳调试,记录下入口点地址
8.png

OD不要关闭,打开Scylla进程选择我们的OD的进程loaddll.exe,然后点击选取dll 选择我们刚刚附加的文件
我这里的文件名是patch.dll 我们就选择它
11.png

将刚刚复制的OEP粘贴进去,之后依次点击  IAT、获取输入表、转储、修复转储
10.png
游客,如果您要查看本帖隐藏内容请回复





评分

参与人数 48HB +58 THX +25 收起 理由
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
太阳神 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
创客者V2.0 + 1
sjtkxy + 1 + 1
消逝的过去 + 2
agan8888 + 1
冷亦飞 + 1
菜菜无过 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
vac1314 + 1
pygicx + 1
yexing + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
啊啊啊了 + 1
风里去 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
车太震 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
三月十六 + 1
夜太美花来了 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
微熊猫 + 1
temp + 1
狐狸精 + 1
侠客行 + 1
小菜虫 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
无奈放纵 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
fengyuan0128 + 1
lies + 1
allenzjb + 1
ldljlzw + 1
playboy + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
我是好人 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
zwj00544 + 1
Marriner + 1 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
eurchin + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
白云点缀的蓝 + 6 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
zhuoqin + 1 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
529743335 + 1 + 1
灵感sky + 1 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
方长 + 2 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
87696167 + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
hgfgh + 1 [快捷评语]--你将受到所有人的崇拜!
peter_king88 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
商品国际 + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
wswwj + 1 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
小值是个小白 + 5 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
hysmy17 + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
子洛 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
vawa1900 + 1 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
【By】岁月无痕 + 6 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
蠢与纯与唇。 + 1 + 1 想要个dllvmp壳补丁教程
xpjltb + 1 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

 楼主| 1156009305 发表于 2019-7-4 01:59 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽

  离线 

1073256676 发表于 2019-7-4 02:33 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

wuliao918 发表于 2019-7-4 02:52 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

 楼主| 1156009305 发表于 2019-7-4 08:34 | 显示全部楼层

本帖最后由 1156009305 于 2019-7-4 08:36 编辑

这里附上演示的patch.dll patch密码521.zip (60.58 KB, 下载次数: 26) 有兴趣的朋友可以自行下载进行尝试
原文件名为icudt...怎么验证是否成功,就不用我多说了吧
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  在线 

任国富 发表于 2019-7-4 09:04 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

xpjltb 发表于 2019-7-4 09:42 | 显示全部楼层

跟着大佬学习了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

蠢与纯与唇。 发表于 2019-7-4 11:16 | 显示全部楼层

我以为是带壳劫持dll
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

明星5380 发表于 2019-7-4 11:34 | 显示全部楼层

想要个dllvmp壳补丁教程
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

 楼主| 1156009305 发表于 2019-7-4 12:23 | 显示全部楼层


带壳劫持dll只是你修改dll的一种方法,有时候壳比较弱,脱壳也是一个好方法
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编论坛(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编论坛不承担任何因为技术滥用所产生的连带责任。吾爱汇编论坛内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长微信:SharkHeng


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编论坛 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )

4.270977 , 60

Powered by Discuz!

吾爱汇编论坛 www.52hb.com

快速回复 返回顶部 返回列表