[求助]DLL脱壳后
有一个提供各种加密函数的dll库,用PEID查看告知是VC++编写,但是实际上dll程序在加载时会自解码,经跟踪,发现是个隐藏的PECOMPACT2.0的壳,直接用OD运行PECOMPACT2.X脚本来到dll的OEP处,然后LORDPE作dump后用importrec修复,似乎一路顺风,但是用OD加载测试exe调用dll时,好像显示的像乱码(不能区分相邻的命令字节),而单独用OD提供的LOADDLL。EXE则显示正常代码,怎么回事? 对step跟踪会有影响吗?
LOADDLL加载时情况
1001BC8B R> 55 push ebp
1001BC8C 8BEC mov ebp,esp
1001BC8E 53 push ebx
1001BC8F 8B5D 08 mov ebx,dword ptr ss:
1001BC92 56 push esi
1001BC93 8B75 0C mov esi,dword ptr ss:
1001BC96 57 push edi
1001BC97 8B7D 10 mov edi,dword ptr ss:
1001BC9A 85F6 test esi,esi
1001BC9C 75 09 jnz short Reg_cr.1001BCA7
1001BC9E 833D B80D0410 0>cmp dword ptr ds:,0
1001BCA5 EB 26 jmp short Reg_cr.1001BCCD
测试exe加载时:
06CCBC8B R> 55 push ebp
06CCBC8C 8BEC mov ebp,esp
06CCBC8E 1E push ds ;问:这里为什么字节会变,原来是 53 push ebx
06CCBC8F 825D 08 56 sbb byte ptr ss:,56 ;;这里头字节也变了
06CCBC93 8B75 0C mov esi,dword ptr ss:
06CCBC96 57 push edi
06CCBC97 8B7D 10 mov edi,dword ptr ss:
06CCBC9A 85F6 test esi,esi
06CCBC9C 75 09 jnz short Reg_cr.06CCBCA7
06CCBC9E 833D B80D0410 0>cmp dword ptr ds:,0
06CCBCA5 EB 26 jmp short Reg_cr.06CCBCCD
不得其解。 具体我不是很清楚,可能这个DLL里面有自修改的代码,也就是SMC技术,要不改天我贴出来? 那当然好了.
谢谢.
共享软件加密算法库专业版
下载: http://liangs.autodebug.com/
页:
[1]