DLL二次验证解决方法之“完美”脱壳修复
本帖最后由 1156009305 于 2019-7-4 09:14 编辑大家好!我是论坛的1156xxxxx,
今天给大家带来一个dll脱壳修复的教程,适用于一部分DLL的二次验证
这是我也首次发布教程,有问题的地方大家多多指正
记得要评论投币评分素质三连哦{:5_121:}
首先感谢一下@【By】岁月无痕 的细心指导,严谨来说,本次图文算是翻录一次岁月表哥教程、
岁月表哥视频讲的很详细,只不过这个DLL跟岁月表哥逆向的略有差异,所以分享一下
本教程可能有大量的图片,如果不喜欢看图的可以去看下岁月表哥的帖子
https://www.52hb.com/thread-39653-1-1.html{:5_116:}
第一步:查壳
PEid显示是UPX的壳子,首先想到的肯定是脱壳机,然而在尝试了3-5种脱壳机之后都宣布失败,
于是想起了江湖失传已经的绝技:ESP定律
第二步:准备逆向工具
我们需要准备以下几款工具,百度或论坛都可以找到,我就不提供了
1.oD
2.LordPE
3.Scylla_86
4.ReloX
5.良好的视力
第三步:脱壳
ESP定律就不用我多赘述了吧,大家应该都会,不会的去看下恒大的脱壳教程
这里需要强调的是,如果直接用OD脱壳然后用LordPE修复,EP段最后加上.mackt
这种脱壳方法exe软件是可以的,但是如果dll这样脱壳,dll会失效,小菜已经尝试过了
下硬件断点,F9运行,F8单步几次,就到达OEP了
有的dll脱壳可能需要下两次硬件断点(相当于脱两次),但是我这个只需要一次就搞定了
右键脱壳调试,记录下入口点地址
OD不要关闭,打开Scylla进程选择我们的OD的进程loaddll.exe,然后点击选取dll 选择我们刚刚附加的文件
我这里的文件名是patch.dll 我们就选择它
将刚刚复制的OEP粘贴进去,之后依次点击IAT、获取输入表、转储、修复转储
**** Hidden Message *****
第一次坐沙发,有点小激动! 谢谢分享,学习学习
本帖最后由 1156009305 于 2019-7-4 08:36 编辑
这里附上演示的patch.dll有兴趣的朋友可以自行下载进行尝试
原文件名为icudt...怎么验证是否成功,就不用我多说了吧{:5_117:}
感谢你的分享,谢谢 跟着大佬学习了 我以为是带壳劫持dll 想要个dllvmp壳补丁教程 蠢与纯与唇。 发表于 2019-7-4 11:16
我以为是带壳劫持dll
带壳劫持dll只是你修改dll的一种方法,有时候壳比较弱,脱壳也是一个好方法