DLL二次验证解决方法之“完美”脱壳修复

大家好！我是论坛的1156xxxxx，
今天给大家带来一个dll脱壳修复的教程，适用于一部分DLL的二次验证
这是我也首次发布教程，有问题的地方大家多多指正
记得要评论投币评分素质三连哦

首先感谢一下@【By】岁月无痕 的细心指导，严谨来说，本次图文算是翻录一次岁月表哥教程、
岁月表哥视频讲的很详细，只不过这个DLL跟岁月表哥逆向的略有差异，所以分享一下
本教程可能有大量的图片，如果不喜欢看图的可以去看下岁月表哥的帖子
https://www.52hb.com/thread-39653-1-1.html

第一步：查壳

PEid显示是UPX的壳子，首先想到的肯定是脱壳机，然而在尝试了3-5种脱壳机之后都宣布失败，
于是想起了江湖失传已经的绝技：ESP定律

第二步：准备逆向工具
我们需要准备以下几款工具，百度或论坛都可以找到，我就不提供了

1.oD
2.LordPE
3.Scylla_86
4.ReloX
5.良好的视力



第三步：脱壳
ESP定律就不用我多赘述了吧，大家应该都会，不会的去看下恒大的脱壳教程
这里需要强调的是，如果直接用OD脱壳然后用LordPE修复，EP段最后加上.mackt
这种脱壳方法exe软件是可以的，但是如果dll这样脱壳，dll会失效，小菜已经尝试过了

下硬件断点，F9运行，F8单步几次，就到达OEP了
有的dll脱壳可能需要下两次硬件断点（相当于脱两次），但是我这个只需要一次就搞定了


右键脱壳调试，记录下入口点地址


OD不要关闭，打开Scylla进程选择我们的OD的进程loaddll.exe，然后点击选取dll 选择我们刚刚附加的文件
我这里的文件名是patch.dll 我们就选择它


将刚刚复制的OEP粘贴进去，之后依次点击  IAT、获取输入表、转储、修复转储

游客，如果您要查看本帖隐藏内容请回复

第一次坐沙发，有点小激动！

谢谢分享，学习学习

这里附上演示的patch.dll patch密码521.zip (60.58 KB, 下载次数: 27)

2019-7-4 08:34 上传

点击文件名下载附件

有兴趣的朋友可以自行下载进行尝试
原文件名为icudt...怎么验证是否成功，就不用我多说了吧

感谢你的分享，谢谢

跟着大佬学习了

我以为是带壳劫持dll

想要个dllvmp壳补丁教程

蠢与纯与唇。 发表于 2019-7-4 11:16
我以为是带壳劫持dll

带壳劫持dll只是你修改dll的一种方法，有时候壳比较弱，脱壳也是一个好方法