用Ollydbg手脱UPX加壳的DLL





.作者申明.：只是感兴致，不其余目标。失误之处敬请诸位大侠赐教！

.调试环境.：WinXP、Ollydbg1.10C、WinHex、LordPE、UPXAngela、ImportREC

—————————————————————————————————
.脱壳进程.：


实在这篇东东只是.加密与解密.第2版中对于UPX脱壳的Ollydbg脱壳翻版。
Ollydbg1.10C加UPXAngela脱UPX的DLL很是便利呀，呵呵。
—————————————————————————————————
一、得到重定位表RVA跟OEP


代码:
003B8100 807C24 08 01 cmp byte ptr ss:.esp+8.,1//进入OD后停在这
003B8105 0F85 7D010000 jnz EdrLib.003B8288



不必跟踪，Ctrl+S 在当前地位下搜寻命令序列：

代码:
xchg ah,al
rol eax,10
xchg ah,al
add eax,esi



找到在003B826D处，在其上mov al,byte ptr ds:.edi.的003B825E处下断，F9运行，断下


代码:
003B825E 8A07 mov al,byte ptr ds:.edi.
//EDI003B7318当前基址003B0000＝00007318 ★ 这就是重定位表的RVA
003B8260 47 inc edi
003B8261 09C0 or eax,eax
003B8263 74 22 je short EdrLib.003B8287
//重定位数据处置结束则跳转
003B8265 3C EF cmp al,0EF
003B8267 77 11 ja short EdrLib.003B827A
003B8269 01C3 add ebx,eax
003B826B 8B03 mov eax,dword ptr ds:.ebx.
003B826D 86C4 xchg ah,al//找到这里
003B826F C1C0 10 rol eax,10
003B8272 86C4 xchg ah,al
003B8274 01F0 add eax,esi
003B8276 8903 mov dword ptr ds:.ebx.,eax
003B8278 EB E2 jmp short EdrLib.003B825C
003B827A 24 0F and al,0F
003B827C C1E0 10 shl eax,10
003B827F 66:8B07 mov ax,word ptr ds:.edi.
003B8282 83C7 02 add edi,2
003B8285 EB E2 jmp short EdrLib.003B8269



在003B8287处下断，F9运行，断下，重定位数据处理完毕
当我们在003B8287处中止下来时，EDI003B74EA，就是重定位表停止的地址


代码:
003B8287 61 popad
//此时EDI003B74EA ★
003B8288 E9 3C8FFFFF jmp EdrLib.003B11C9
//飞向光亮之点巅！



代码:
003B11C9 55 push ebp//OEP ★
003B11CA 8BEC mov ebp,esp
003B11CC 53 push ebx
003B11CD 8B5D 08 mov ebx,dword ptr ss:.ebp+8.
003B11D0 56 push esi
003B11D1 8B75 0C mov esi,dword ptr ss:.ebp+C.
003B11D4 57 push edi
003B11D5 8B7D 10 mov edi,dword ptr ss:.ebp+10.
003B11D8 85F6 test esi,esi
003B11DA 75 09 jnz short EdrLib.003B11E5



用LordPE选中Ollydbg的loaddll.exe的进程，在下面的列表里取舍EdrLib.dll，然后完全脱壳，得到dumped.dll。


—————————————————————————————————
二、输入表


随意从程序找一个API调用，如：

代码:
003B10FD FF15 20403B00 call dword ptr ds:.3B4020.; kernel32.GetVersion


在转存中追随3B4020，高低看到很多函数地址，很显明的能够找到IAT开始和结束的地址：


代码:
003B3FF0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
003B4000 1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77 .Q.w.:.w ..w...w

003B40B0 CE 7C E5 77 05 74 E5 77 F9 81 E5 77 EB 41 E4 77 .'.w.t.w...w.A.w
003B40C0 66 C8 E5 77 3E 18 F6 77 00 00 00 00 00 00 00 00 f..w ..w........



开始地址＝003B4000
结束地址＝003B40C9

运行ImportREC，留神：去掉“应用来自磁盘的PE部首”的选项！

选中Ollydbg的loaddll.exe的过程，而后点“选取DLL”，抉择EdrLib.dll，填入RVA＝00004000、大小＝000000C8 ，点“Get Import”，得到输入表。改OEP000011C9，FixDump！


—————————————————————————————————
三、重定位表修复 + PE修改


UPX损坏了重定位表。在第一步咱们已经得到重定位表的地址了，用WinHex翻开dumped_.dll，复制4000－40C9之间的16进制数值，另存为fly.bin
运行 看雪 老师写的帮助修复UPX加壳DLL重定位表的工具UPXAngela.exe，打开fly.bin，很快的提醒pediy.bin文件创立胜利！

从dumped_.dll找块空缺代码，如自UPX1段的6000处开端。够用就行，pediy.bin中的数据长度为3B0。
用WinHex把pediy.bin中的16进制数值全体复制、写入到dumped_.dll的6000处。