吾爱汇编论坛

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 3977|回复: 189

[原创逆向图文] 快速提取程序中的DLL(不是100%成功)

  [复制链接]

  离线 

升级   6%

保安 发表于 2021-12-29 23:27 | 显示全部楼层 |阅读模式


本帖最后由 保安 于 2022-1-1 00:26 编辑

逆向环境:物理机WIN10
涉及工具:7-zip、任务管理器(系统自带)、(x32dbg)
教程类型:攻防战
是否讲解思路和原理:是
以下为图文内容
1.普通无壳程序(例如 易 C++ 等。不包含.net)我这里使用的是7-zip,可能需要一样,如果使用其他工具也能实现请回帖告知
先写一个demo程序
1-1.导入资源表
61cc4fa03e636.png
1-2.调用该资源(如果不调用依旧无法提取 并且程序体积不会包含该dll)
61cc4ff41f6b6.png
然后编译
1-3.使用7-zip打开
61cc5038d0a1c.png
这里点击# 或者#:e都可以,但是#只会列出资源表内第一个dll。如果点击#:e则会列出所有
61cc50907ca61.png
这里直接提取即可获取到dll

原理:当你把dll添加进引用资源表,并且编译后,由于该文件是一个动态链接库,包含了PE头格式,所以当你尝试使用zip格式打开时,则会出现资源表里面的文件(dll/exe)

----------我是一条分割线----------

1.解决方法(未加壳)
1-1.加密过程
61cc523fe65d1.png
1-2.点击按钮后输出了一个加密dll
61cc52a892e7c.png
1-3.注入时解密过程
先引用已加密的dll
61cc531a1eb2f.png
61cc57e9b3f12.png
1-4.使用7-zip打开,已经无法看见加密后的dll
61cc589fe141a.png

原理:当你将该文件(dll)加密时,PE头已发生变化(已经变成非动态链接库),此时(7-zip)不会再显示该文件

虽然dll已经加密,但是依旧可以看到解密密码,能不能成功解密,只能看破解者的毅力(需要慢慢找dll的大小,并且拷贝出来解密。但是如果大小不一样,解密结果也会跟正常的不一样。)——并不是说无法破解,只是提高了破解难度


----------我是一条分割线----------

2.加了VMP的(易-未加密DLL)(不含.net)

2-1.去掉加密过程,以免影响结果(添加’号进行注释)
61cc5b927a53d.png
2-2.将注入方式改回直接注入并编译
61cc5c88909a6.png
2-3.加上VMP3.5(保护全开)

61cc5d43f1025.png
61cc5da6857f9.png
61cc5e3674922.png
2-4.打开该程序后,打开任务管理器(快捷键Ctrl+Shift+Esc,也可以通过右键任务栏(默认在底部)-任务管理器 打开)
右键该进程,点击“创建转储文件”
61cc5fcbc416d.png
游客,如果您要查看本帖隐藏内容请回复


2022-01-01这里补上一个内存运行模块,方便大家研究:https://wwi.lanzouw.com/ibNQey7defi易语言的关键数据应该都在.rdata区段里,建议(dump后)直接在里面搜索本人不太会表达,如有疏漏,请多多包涵
请留下你的hb



点评

该文章于2022年1月5日发表在“吾爱汇编”公众号。  发表于 2022-1-4 12:42

评分

参与人数 78威望 +1 HB +199 THX +40 收起 理由
于理 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
xgbnapsua + 1
fengyuan0128 + 1
weiran324 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
侠客行 + 1
fjgh + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
落雪玉 + 1
楠居 + 2 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
temp + 1 + 1
菜鸟羊 + 2 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
我是好人 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
playboy + 1
709929988 + 2 + 1
东方 + 2 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
龙哥牛啊 + 2 + 1
1329214965 + 1
XiaoWeiSec + 1
hetao8003200 + 1
1019045978 + 1
口水鸡 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
小可 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
bbip + 1
我心迷离 + 2 + 1
泰泰 + 1
baky1223 + 2 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
仰天长啸一口痰 + 1
acoin + 1 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
淡墨痕 + 1
ams + 1
axigua + 1 + 1
毫无头绪 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
科迈罗 + 1
成丰羽 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
mckwap + 2
zsr849408332 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
淡灬看夏丶恋雨 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
消逝的过去 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
小声点我布隆 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
虾饺 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
missaa + 1
0×Ret + 4 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
辞逸哟 + 1
wangyou2022 + 1
zwc123xyz + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
mengzhisuoliu1 + 1
renzaijianghu + 1 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
Remix爆 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
172997294 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
abellixun + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
h112233h456 + 1

查看全部评分

本帖被以下淘专辑推荐:

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

ST手怎么白了 发表于 2021-12-30 00:19 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  在线 

Shark恒 发表于 2021-12-29 23:44 | 显示全部楼层


讲解原理便是精华!感谢你的作品,为大家带来知识!

评分

参与人数 1HB +1 收起 理由
116049762 + 1

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   91.98%

狐白小刺客 发表于 2021-12-29 23:52 | 显示全部楼层


简单xor +btc就够了,资源放加密的,进程中动态解密写出够了,虽然结局还是一样要写出文件,只要对文件做个加密通讯,比如rsa 4096往上 组合加密都可以
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   63.33%

Jrhaoge 发表于 2021-12-29 23:51 | 显示全部楼层


感谢分享看开隐藏
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   6%

 楼主| 保安 发表于 2021-12-29 23:59 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   6%

 楼主| 保安 发表于 2021-12-30 00:01 | 显示全部楼层


狐白小刺客 发表于 2021-12-29 23:52
简单xor +btc就够了,资源放加密的,进程中动态解密写出够了,虽然结局还是一样要写出文件,只要对文件做个 ...

如果是内存注入的方式,可以直接在内存里面解密,不用写出文件,这样可以大大减少被dump的几率。但是远程线程注入貌似必须写出dll,较容易被提出
不过感谢大牛提点 我再学习学习
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   13.33%

lies 发表于 2021-12-30 00:08 | 显示全部楼层


谢谢分享,受教了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   0%

jzh 发表于 2021-12-30 00:12 | 显示全部楼层


来看看  谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   6%

 楼主| 保安 发表于 2021-12-30 00:24 | 显示全部楼层


ST手怎么白了 发表于 2021-12-30 00:19
教程用心 看得出来 支持

感谢大牛支持
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
赞帖
赞帖
赞帖
3层
5层
6层
7层
8层
10层

免责声明

吾爱汇编论坛(www.52hb.com)所发布的破解补丁、注册机、逆向教程、逆向文章等,包含但不限于上述内容,仅限用于学习和研究目的,不得用于非法途径或商业行为。否则,一切后果请用户自行承担。本站内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如果您喜欢某程序,请购买正版,支持正版,获得正版优质服务。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@iCloud.com
站长微信:SharkHeng


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编论坛 ( 京公网安备11011502005403号 , 京ICP备20003498号 )

GMT+8, 2022-5-23 19:57 , Processed in 0.334526 second(s), 78 queries .

Powered by Discuz!

吾爱汇编论坛 www.52hb.com

快速回复 返回顶部 返回列表