脱壳学习记录----DLL找OEP

最新推荐文章于 2022-10-19 21:42:49 发布
最新推荐文章于 2022-10-19 21:42:49 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: 逆向工程基础 文章标签: DLL OEP 脱壳 构造重定位表 构建输入表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/82682166
版权
本文记录了DLL文件脱壳过程中遇到的挑战,特别是如何找到OEP(Original Entry Point)以及如何处理重定位表。通过使用OD、PEEditor等工具,分析了DLL的加载和脱离过程,揭示了由于DLL的特性导致的复杂性。介绍了利用lordPE进行dump,并使用ImportREC重建输入表的步骤,强调了在DLL中构造重定位表的必要性,以修复可能被外壳破坏的部分。
摘要由CSDN通过智能技术生成

还是做一些加密解密3的学习记录

文件链接:https://pan.baidu.com/s/1-KiagpsimjDBsyMF01ouxA 密码:tt8u

工具链接:https://pan.baidu.com/s/14dP_ksqM8WvTnKxCZ18xUw 密码:qqr5

DLL文件脱壳相比于EXE脱壳困难一些

先压缩,要是失败了,就找别的工具吧

用PEEditor查看一下加壳后的DLL文件的信息

ImageBase默认定位在了00400000处,可是我们用OD打开会发现并不是

如果你的OD有插间或者辅助程序Loaddll.exe就可以打开DLL文件了,可以去下一个

用OD打开后,会发现入口点并不在00400000,如果不确定的话可以打开内存看一下,已经是在500000了

猜都猜出来用了重定位,难度加大,跳转到pedit段(我们加壳后多出来的区段,即外壳段)

在00

最低0.47元/天 解锁文章
xiaoyuyulala
关注
专栏目录
脱壳-寻OEP】壳常用的函数寻OEP
这个人很懒什么都没有留下
10-20 324
我们这次用GetProcAddres来测试,载入我们的测试文件然后Cttrl+G输入GetProcAddress获取函数的地址下断点,但是下的是条件断点,只针对函数加载进行记录而不是进行下断。但是这里的数据有几千行不知道哪一行是我们要定位的数据,我们在他的代码段设置访问断点然后一直按住F9往下运行一直到他被断下来为止。这次我们用的是特殊OD。之后一直F9停下来的就会出现代码段,这就是我们的OEP了,但是这个方法不太好用不建议使用。设置esp的记录记录值,因为esp的栈顶数据读入的第一条肯定是他。
逆向入门--何为OEP
最新发布
一座明亮的小塔
04-11 1090
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们到程序真正的OEP,就可以立刻脱壳。再用一个最幼稚的比喻来形容加壳的软件,那个带壳的软件,就是穿了衣服的人,要看它到底是男是女,就把衣服掉,不可能哪个生出来就穿了衣服吧,就像软件一样,写出来不可能就带壳的,都是后面加上去的。以上方法,针对不同的壳,至于OEP是什么样子,这个就不好说了,不同的语言写出来的样子就不一样,有高手能总结下OEP的样子吗?基础东西,老鸟绕过,新手要学破解的,必须掌握~~我也在学习中。
DLL文件脱壳
09-14
DLL加壳文件脱壳,把DLL加壳文件脱壳,把DLL加壳文件脱壳,把DLL加壳文件脱壳
Dll 文件脱壳
04-21 4276
在分析样本时偶尔会遇到加保护壳的 Dll 文件,起来比较麻烦。由于加壳 Dll 文件的壳代码都是在 DllMain() 函数中,在调用 LoadLibrary() 加载 Dll 文件时,主函数就会执行。因此可以写个程序加载 Dll 文件,然后 Dump 出来,即可完成脱壳。虽然不能确定入口点和修复导入,但代码部分应该都是正常的。具体代码如下:#include #include #include
OEP TOOL 查工具
06-29
OEP的工具 能快速识别软件的OEP
脱壳--03.exe OD脚本脱壳
weixin_45012273的博客
02-08 1313
和02程序类似 但是我们换一种方式脱壳 就是利用OD脚本脱壳 我们通过02程序知道壳代码在获取真正的api地址以后 会对api地址做一些处理 然后在填写到iat中 在我们调用api的时候 并没有直接调用到api 而是加密后的api的代码 脚本的框架:只需要知道三个地址 获取真正api的地址 填写iat的地址和oep的地址 得到获取真正api的地址把api地址存放在一个临时变量里 中间不管他怎么加密 到填写IAT的时候 都会填写我们事先保存的临时变量里的api的地址 我们现在只要调试出这三
脱壳--00.exe
weixin_45012273的博客
02-08 568
使用OD打开 发现不能使用esp定律了 我们可以通过特征去OEP(入口点) 直接运行程序 发现是FF15方式调用函数 就可以确定是VS的程序 vs程序大致分成两种 vs20xx (特征函数:GetSystemTimeAsFileTime)和 vc++6.0(特征函数:GetVersion) 在这两个函数上下断点 直接运行程序 程序断下 发现并不是我们的模块调用的此函数 继续运行直到可返回我们的模块位置 返回自己代码的模块调用的函数以后,在向上一层应该就是我们的...
非常好用的dll脱壳工具.rar
01-18
非常好用的dll脱壳工具.rar
七种OD查oep的方法
07-15
七种OD查oep的方法 单步跟踪法 ESP定律法 内存镜像法 一步到达OEP 最后一次异常法 模拟跟踪法 “SFX”法
NET脱壳工具 DLLexe文件
07-14
NET脱壳工具 DLLexe文件,net语言万能脱壳工具,大多数混淆代码都可以出1
从国外转来的dll脱壳软件
06-29
其实并不是相它网站上说的那么好用,有些dll无法脱壳。经常用于修改rgssxxx的magic key时用。
专门针对Exedll的加壳与脱壳工具
03-05
这是一组对应用程序加壳与脱壳的工具。其中upx.exe能够将应用程序加壳,只需将其拖放到upx.exe图标上即可。
什么是OEP
liaomin416100569的专栏
05-07 2282
OEP OEP:(Original Entry Point),程序的入口点 为加壳的程序 oep示程序的入口点  加壳的程序会隐藏oep 到真正的oep可以脱壳 并且反向调试程序
DLL文件脱壳重定位修复部分)
热门推荐
yizhenweifeng的专栏
02-15 1万+
标 题:DLL文件脱壳重定位修复部分)作 者:kanxue 时 间:2008-03-16 10:42 链 接:http://bbs.pediy.com/showthread.php?t=61334   13.5 DLL文件脱壳   DLL文件的脱壳EXE文件步骤差不多,所不同的是,DLL文件多了个基址重定位等要考虑。   在2003年出版的《加密与解密》(第二版)中以
脱壳-寻OEP】通过内存定位OEP实现脱壳
这个人很懒什么都没有留下
10-19 496
注意:不需要去断加壳程序原本的代码断,因为他本身的代码断是做解密 还原 写入的,没必要在他本身做断点。这次用的也是UPX的壳,载入特殊od后可以看到upx的壳是在我们原始oep的代码外面,UPX0里面才包含我们的原始入口点,UPX1是不包含的,UPX1这块就对 解密 还原 写入这三个步骤进行操作,然后写入到UPX0这个输入中,也就是我们真实的OEP入口代码地址。设置完后F9运行,可以发现他断在了我们的入口点处,代码已经解密完成了,加壳程序已经还原了他的代码,这也是还原后执行的第一行代码段被我们断了下来。
EXEDLL脱壳的代码
05-30
用Visual FoxPro写的一个壳程序,但最近需要脱壳一个文件,Upx主程序本身支持脱壳,那个程序竟然没有脱壳的参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值