冰凌汇编

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 72|回复: 0
收起左侧

[原创] 提取已加密的dll 2(非100%成功)

[复制链接]
uqwndggg 发表于 2022-6-12 17:22:09
运行环境:
Win10
涉及工具:
x32dbg + 任务管理器+7-zip
教程类型:
逆向程序中的dll(2)
是否讲解思路和原理:




以下为图文内容:
自从上次写完帖子 就一直没有再写续 最近研究出来新方法 再写一篇续(其实就是想赚点hb(小声)

注意 本篇帖子没有上一期的详细 由于是半夜写的 脑子有点不灵光 请各位大牛谅解
建议配合上一篇食用

快速提取程序中的DLL(不是100%成功)https://bingling.qingjue.cn/thread-409-1-1.html
(出处: 吾爱汇编论坛)

上一篇帖子说到 加密后 很难提出dll 经过我长时间的努力(其实在偷懒(bushi)) 终于找到了破解方法。
这次的演示是不具备反调试的 ,如果遇见强壳/强反调试 请跟其他大牛学习如何绕过

这次不用现成的dll了 这次写一个新的
demodll只有一个信息框 用做演示 (最后实验时是否能正常运行)
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

我这里使用静态编译 得把启动子程序的公开勾上 不然无法编译
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

现在新建一个窗口程序 把刚才的dll添加到资源表
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

老样子 先写出加密数据
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

然后将它导入到资源表 我这里把源文件删除 以方便分辨
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

然后就是注入过程,注入中 解密数据的密码文本与加密方式 必须跟加密时一致 否则将出错
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

测试下注入
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

正常无错误
那么我将注入程序静态编译 使用x32dbg配合任务管理器进行提取(个人不太会用od x32dbg用着比较顺手 精通od的大牛可以忽略)
我载入到x32dbg 直接运行
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

然后按Ctrl+G,输入RtlMoveMemory
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

点击确定
在此处下一个断点
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

然后回到注入器,点击注入
这里已经可以看到注入器被断下了 但是不要急着运行 此时打开任务管理器
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

右键注入器任务,创建转储文件
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

找到刚才提示的目录
我这里依旧使用上一篇帖子的方法进行打开 如果不明白 请先阅读上一篇帖子
https://bingling.qingjue.cn/thread-409-1-1.html
我这里排序是大小排序 往下拉 找到目标dll

提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

将其提取出来,测试注入
添加到资源表

提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

注意 这里的dll不能跟之前的一样 要改为'提取dll'
提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

提取已加密的dll 2(非100%成功) - uqwndggg_冰凌汇编

完成
有错请点评指正 回帖不一定能看见
冰凌汇编免责声明
以上内容均来自网友转发或原创,如存在侵权请发送到站方邮件9003554@qq.com处理。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|站点统计|Archiver|小黑屋|RSS|冰凌汇编 ( 滇ICP备2022002049号 滇公网安备 53032102000029号)|网站地图

GMT+8, 2022-9-25 06:52 , Processed in 0.129790 second(s), 9 queries , Redis On.

冰凌汇编 - 建立于2021年12月20日

Powered by Discuz! © 2001-2022 Comsenz Inc.

快速回复 返回顶部 返回列表