首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]dll脱壳中构造重定位表的问题
发表于: 2009-6-4 09:42 5324

[求助]dll脱壳中构造重定位表的问题

黑洞引力 活跃值
2009-6-4 09:42
5324
对照第三版加密解密在学dll脱壳,按照书中的键入重定位表
我的由ImportREC看出外壳加载后的基址是3b0000h,OD插件分配的分配的地址为00ba0000h,我键入的代码便为
00a00289  pushad
00a0028a  mov edx, dword ptr [0ba0000h]
00a00290  sub edx, 3b0000h
00a00296  mov dword ptr [edx], ebx
00a00298  add edx,4
00a0029b  mov dword ptr [0ba0000h], edx
00a002a1  popad
00a002a2  or al,al
00a002a4  jmp short 00a00231h

可以走到地址00a00296h处便跳到7c92e4f4h地址处,再往下走便跳出对话框
loaddll.exe: can't load loaddll.dll
OD死了
看教程视频的也就顺利的走下去了,可自己的为什么会这样???
很菜的一个问题,对菜鸟的我却折腾半天没搞定,大家快来帮帮忙阿

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (5)
kanxue
雪    币: 58782
活跃值: (21961)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
问题出在:OD插件分配的分配的地址为00ba0000h,这里你要键入一个起始地址。看图13.50。
2009-6-4 09:59
0
黑洞引力
雪    币: 60
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我是按照那样来的阿,键入了ba0010h,都是模拟着来的
可同样的问题存在
2009-6-4 10:47
0
sunsjw
雪    币: 9449
活跃值: (6088)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
00a00290  sub edx, 3b0000h

楼主搞错了吧。。。 应该是sub ebx,3b0000h

ebx里放的才是重定位的地址。
2009-6-4 13:18
0
黑洞引力
雪    币: 60
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢,谢谢楼上的,犯了这么弱的问题

不过又有一个问题出来了
是不是每次dll脱壳时都要用这一段补丁代码呢?
是有为什么?不是又是什么呢?
位置选择如何定?

望能授之以渔而非授之以鱼,问的有点多,谢谢阿
2009-6-4 15:18
0
kanxue
雪    币: 58782
活跃值: (21961)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
6
如果重定位表没加密,就不需要这样处理。
重定位表恢复,还有其他方法,MackT曾写过一个工具来处理ReloX 1.0a
345K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6b7c8g2)9#2k6Y4c8G2L8$3I4K6i4K6u0r3M7X3g2D9L8$3y4S2N6r3W2G2L8Y4y4Q4x3V1k6d9k6h3I4G2P5q4)9J5c8Y4g2U0k6Y4u0D9P5o6p5H3j5g2)9J5k6i4A6A6M7l9`.`.
2009-6-4 15:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回