用Ollydbg手脱Neolite加壳的DLLReloX修复DLL脱壳重定位表
【菜科解读】
由于比较忙,所以只测试了Neolite和UPX加壳DLL的重定位表修复,其它壳大家再多测试吧。
EdrLib.dll是Neolite V2.0最大比例压缩,加密了重定位表,无法自动脱壳。
―――――――――――――――――――――――――――――――――一、Entry PointNeolite是压缩壳,OEP非常容易走到。
003D710F E9 A6000000 jmp EdrLib.003D71BA//进入Ollydbg后暂停在这003D71BA 8B4424 04 mov eax,dword ptr ss:[esp+4]003D71BE 2305 20713D00 and eax,dword ptr ds:[3D7120]003D71C4 E8 ED040000 call EdrLib.003D76B6003D71C9 FE05 B9713D00 inc byte ptr ds:[3D71B9]003D71CF FFE0 jmp eax//这里就是跳向OEP的地方!:-) 在这里“埋伏”个断点,开始第二步操作―――――――――――――――――――――――――――――――――二、适当的Dump时机:搞定输入表下断:BP VirtualProtect中断后取消断点,Alt+F9返回003D7B22 FF55 7A call dword ptr ss:[ebp+7A]; kernel32.VirtualProtect003D7B25 FF75 66 push dword ptr ss:[ebp+66]003D7B28 8D55 A2 lea edx,dword ptr ss:[ebp-5E]003D7B2B 8D85 5EFDFFFF lea eax,dword ptr ss:[ebp-2A2]003D7B31 FF75 5A push dword ptr ss:[ebp+5A]003D7B34 8B4F 0C mov ecx,dword ptr ds:[edi+C]003D7B37 E8 B4030000 call EdrLib.003D7EF0//区段解压003D7B3C 8B55 0A mov edx,dword ptr ss:[ebp+A]003D7B3F 8B47 04 mov eax,dword ptr ds:[edi+4]003D7B42 8B52 24 mov edx,dword ptr ds:[edx+24]003D7B45 25 00000080 and eax,80000000003D7B4A 81E2 00000080 and edx,80000000003D7B50 39D0 cmp eax,edx003D7B52 0F84 60FFFFFF je EdrLib.003D7AB8003D7B58 F647 04 20 test byte ptr ds:[edi+4],20003D7B5C 0F84 4FFFFFFF je EdrLib.003D7AB1003D7B62 C745 AA 20000000 mov dword ptr ss:[ebp-56],20003D7B69 E9 4AFFFFFF jmp EdrLib.003D7AB8//循环003D7B6E 837E 24 00 cmp dword ptr ds:[esi+24],0//F4到这里 [esi+24]=[003E4024]=0000442C 输入表的RVA! ★003D7B72 0F84 1D010000 je EdrLib.003D7C95现在程序代码已经解开,API函数的系统地址还没有填充进IAT,也没有重定位,还等什么?运行LordPE完全Dump出这个dll。
―――――――――――――――――――――――――――――――――三、飞向光明之巅Dump完毕之后直接F9运行,中断在我们首先“埋伏”的断点处。
003D71CF FFE0 jmp eax ; EdrLib.003D11C9//飞向光明之巅!:-)003D11C9 55 push ebp//OEP003D11CA 8BEC mov ebp,esp003D11CC 53 push ebx003D11CD 8B5D 08 mov ebx,dword ptr ss:[ebp+8]―――――――――――――――――――――――――――――――――四、PE修正用LordPE修正dumped.dll的OEP RVA=000011C9,Import Table RVA=0000442C,IAT RVA可以清零。
删除Oreloc、.neolit、.reloc三个区段,用WinHex移除00006000至末尾的壳数据。
输出表没有加密,可以用LordPE来察看。
RVA=000070A2 Size=6DWinHex打开EdrLib.dll,把偏移0X10A2处的06D字节复制出来;在dumped.dll中找一点空地,把其挪至4900处吧修正dumped.dll的Export Table RVA=00004900,Size一样。
当然要修正相关数据了:->Export TableCharacteristics: 0x00000000TimeDateStamp: 0x3DC70847 (GMT: Mon Nov 04 23:52:39 2002)MajorVersion: 0x0000MinorVersion: 0x0000 -> 0.00Name: 0x000070DE ("EdrLib.dll") ==>修改为:0x0000493CBase: 0x00000001NumberOfFunctions: 0x00000002NumberOfNames: 0x00000002AddressOfFunctions: 0x000070CA ==>修改为:0x00004928AddressOfNames: 0x000070D2 ==>修改为:0x00004930AddressOfNameOrdinals: 0x000070DA ==>修改为:0x00004938Ordinal RVA Symbol Name------- ---------- ----------------------------------0x0001 0x00001010 "_EdrCenterTextA@12"0x0002 0x00001080 "_EdrCenterTextW@12""可以直接用WinHex修改:Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F //原来的输出表000010A0 00 00 00 00 47 08 C7 3D 00 00 00 00 DE 70 ....G.?....摒000010B0 00 00 01 00 00 00 02 00 00 00 02 00 00 00 CA 70 ..............署000010C0 00 00 D2 70 00 00 DA 70 00 00 10 10 00 00 80 10 ..茵..陴......?000010D0 00 00 E9 70 00 00 FC 70 00 00 00 00 01 00 45 64 ..轲..?......Ed000010E0 72 4C 69 62 2E 64 6C 6C 00 5F 45 64 72 43 65 6E rLib.dll._EdrCen000010F0 74 65 72 54 65 78 74 41 40 31 32 00 5F 45 64 72 terTextA@12._Edr00001100 43 65 6E 74 65 72 54 65 78 74 57 40 31 32 00 CenterTextW@12.Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F //修改的输出表00004900 00 00 00 00 47 08 C7 3D 00 00 00 00 3C 49 00 00 ....G.?.... 用,Ollydbg,手脱,Neolite,加壳,的,DLLR
用U盘给电脑装系统的简易步骤
软件支持 在线重装、U盘制作、自定义重装 等多种模式。
简介:在电脑出现问题或需要更换操作系统时,使用U盘给电脑装系统是一种常见且方便的方法。
本文将介绍使用U盘给电脑装系统的简易步骤,帮助读者快速完成系统安装。
工具原料:电脑品牌型号:惠普HP EliteBook 840 G3操作系统版本:Windows 10软件版本:Rufus 3.11一、准备U盘和系统镜像文件1、选择一款容量足够的U盘,建议容量不低于8GB。
2、下载所需的操作系统镜像文件,可以从官方网站或其他可信来源获取。
二、使用Rufus制作启动盘1、打开Rufus软件,插入U盘。
2、在Rufus界面中,选择正确的U盘和操作系统镜像文件。
3、选择分区方案为MBR(适用于大多数电脑),文件系统选择NTFS。
4、点击“开始”按钮,等待制作完成。
三、设置电脑启动顺序1、将制作好的U盘插入需要安装系统的电脑。
2、重启电脑,进入BIOS设置界面(通常按下F2或Delete键进入)。
3、在启动选项中,将U盘设为第一启动项。
4、保存设置并退出BIOS界面。
四、安装系统1、电脑重启后,会自动从U盘启动,进入系统安装界面。
2、按照界面提示,选择安装语言、时区等设置。
3、选择安装类型(新安装或升级),并选择安装位置。
4、等待系统安装完成,期间可能需要进行一些设置和确认。
五、完成安装1、系统安装完成后,电脑会自动重启。
2、根据界面提示,进行一些基本设置,如创建用户账户、设置密码等。
3、安装完成后,即可开始使用新系统。
总结:使用U盘给电脑装系统是一种简单且高效的方法。
通过准备U盘和系统镜像文件,使用Rufus制作启动盘,设置电脑启动顺序,安装系统,最终完成系统安装。
希望本文能帮助读者顺利完成系统安装,并提高电脑使用体验。
标签: 注意:本站所刊载的文章均为学习交流之用,请勿用于商业用途。
对于商业使用,请联系各自版权所有者,否则法律问题自行承担。
Win7系统升级指南:全面解析升级步骤与要点 Win7系统损坏修复教程:详细步骤助你快速解决问题 简介:在电脑出现问题或需要更换操作系统时,使用U盘给电脑装系统是一种常见且方便的方法。
本文将介绍使用U盘给电脑装系统的简易步骤,帮助读者快速完成系统安装。
工具原料:电脑品牌型号:惠普HP EliteBook 840 G3操作系统版本:Windows 10软件版本:Rufus 3.11一、准备U盘和系统镜像文件1、选择一款容量足够的U盘,建议容量不低于8GB。
2、下载所需的操作系统镜像文件,可以从官方网站或其他可信来源获取。
二、使用Rufus制作启动盘1、打开Rufus软件,插入U盘。
2、在Rufus界面中,选择正确的U盘和操作系统镜像文件。
3、选择分区方案为MBR(适用于大多数电脑),文件系统选择NTFS。
4、点击“开始”按钮,等待制作完成。
三、设置电脑启动顺序1、将制作好的U盘插入需要安装系统的电脑。
2、重启电脑,进入BIOS设置界面(通常按下F2或Delete键进入)。
3、在启动选项中,将U盘设为第一启动项。
4、保存设置并退出BIOS界面。
四、安装系统1、电脑重启后,会自动从U盘启动,进入系统安装界面。
2、按照界面提示,选择安装语言、时区等设置。
3、选择安装类型(新安装或升级),并选择安装位置。
4、等待系统安装完成,期间可能需要进行一些设置和确认。
五、完成安装1、系统安装完成后,电脑会自动重启。
2、根据界面提示,进行一些基本设置,如创建用户账户、设置密码等。
3、安装完成后,即可开始使用新系统。
总结:使用U盘给电脑装系统是一种简单且高效的方法。
通过准备U盘和系统镜像文件,使用Rufus制作启动盘,设置电脑启动顺序,安装系统,最终完成系统安装。
希望本文能帮助读者顺利完成系统安装,并提高电脑使用体验。
菜科网系统致力于解决 Windows 系统重装解决方案,提供高效、安全、免费的系统重装服务。
还呗借款平台是正规的吗?正规合法(帮助用户信用卡还款)
还呗借款平台是正规的吗,正规合法还呗平台是正规合法的,这是一款非常正规的代还信用卡账单的平台,运营公司是重庆分众小额贷款有限公司与数禾科技,这两家公司都持有正规的金融牌照,因此还呗平台非常的靠谱,此外,还呗的用户资料都是系统管理的,十分正规靠谱。
还呗平台是干什么的还呗平台是帮助信用卡分期还款而设置的一个平台。
许多人都会去使用信用卡,用的时候非常的潇洒,想买什么就买了,但是有时候因为各种问题导致无法马上还款,这个时候就可以使用还呗来进行信用卡还款了,之后只需要再分期还还呗的钱就可以了,让信用卡不会逾期。
还呗平台有利息吗还呗是有利息的,没有利息就没办法产生利润了,天下没有免费的午餐,不想还利息,就只能快速把钱还完,之后再合理消费,减少超前消费,根据自身的实力去购买物品。
实际上任何平台都是有利息了,还呗的利息也不会太高,和其他平台也差不了多少。
还呗的利率是信用卡最低还款年利率的5折,银行信用卡的最低还款年利率是18.25%,所以还呗的年利率大概在9.13%左右,比信用卡要低很多了,而且当用户在使用软件的时候,保持了良好的信用的话,是能够帮助进一步降低利率的。
不过还是要注意一点,理智消费才能完全不付额外的利息。
