首页
论坛
课程
招聘
[分享]ReloX 重定位表修? (?文)
2006-10-7 19:54 12624

[分享]ReloX 重定位表修? (?文)

2006-10-7 19:54
12624
需準備的工具: Dll LoadEx、LordPE、ReloX
如 load.dll 為加密文件 區段如下

將 load.dll 脫殼 Dump 到另一處命名為 unpack.dll (可隨意命名)
然後將未脫殼的load.dll在複製一份 如圖

用Dll LoadEx載入未加殼的文件(這裡指load.dll與copy-load.dll)

不要關閉Dll LoadEx
然後開啟 LordPE 在上面的窗口點選Dll LoadEx的圖示在看到下面窗口 看剛剛載入的兩個load.dll與copy-load.dll



這時候看到的 load.dll的ImageBase為10000000
copy -load.dll的ImageBase為01C70000
然後在 LordPE 上面將 load.dll 選擇 dump full 為 01.dll 將 copy-load.dll dump 為02.dll



不要關閉 LordPE
接著開啟 ReloX 將剛剛Dump的01.dll與02.dll分別載入 再右邊的框框填入剛剛在 LordPE 上看到的ImageBase

然後按下 Selsct sections 選擇要重定位的區段 這裡選第一個區段 (後有說明-->註)

接著按下Compare 比較 窗口會彈出重定位表 最後按下Fix PE Module 來修復已脫殼
Dump後的文件 unpack.dll 會出現一個新的_unpack.dll 這個就是已修復重定位的文件

用 LordPE 打開來看已修復的文件 重定位表的區段為.reloc
ReloX 修復完成後 Dll LoadEx、LordPE 才可關閉
註:
在脫殼的過程Dump下來已經知道 第一個區段 裡面為 .text .rdata .data 的合併區段 修復重定位主要就選擇這3個區段
許多加殼的文件會將這三個區段合併為一個區段
所以在Dump後要完美修復必須找出這三個區段手工修復 其實沒修復為一個合併區段的状态也無訪

[注意] 招人!base上海,课程运营、市场多个坑位等你投递!

最后于 2020-2-7 12:01 被kanxue编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (16)
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
hbqjxhw 活跃值 16 2006-10-8 19:43
2
0
发个文件让大家也练习练习~~
雪    币: 291
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
djpvd 活跃值 4 2006-10-8 21:57
3
0
下蒌 DLL.rar ?有??文件

http://www.sendspace.com/file/lc9xxu

PEtite2.x.dll 是原始加?文件

OD蒌入 He EIP Shift+F9 取消?? F8 到OEP

Dump 修?~

unpack.dll 是我??後完美修?的文件

比蒉一下吧
雪    币: 326
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
快雪时晴 活跃值 4 2006-10-8 22:31
4
0
谢谢演示,这个工具很早前就下过,说明看了几遍,如何操作还是模棱两可。图解的就是易懂。
雪    币: 15
活跃值: 活跃值 (214)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
daxia200N 活跃值 6 2006-10-9 09:42
5
0
不错,学习了
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
cxlrb 活跃值 5 2006-10-9 11:04
6
0
fly有个演示和这个一样,是修复arm的
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
cyto 活跃值 31 2006-10-9 17:51
7
0
谢谢分享,下载收藏备用.
雪    币: 234
活跃值: 活跃值 (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xingbing 活跃值 2006-10-10 10:38
8
0
图文并茂,学习
雪    币: 308
活跃值: 活跃值 (55)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
zhuwg 活跃值 11 2006-10-10 15:59
9
0
不错,学习学习
雪    币: 106
活跃值: 活跃值 (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
风再起时 活跃值 2006-10-11 10:26
10
0
路过 支持下~
雪    币: 233
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
haishi 活跃值 2006-10-11 12:25
11
0
最初由 cxlrb 发布
fly有个演示和这个一样,是修复arm的

的确是这样的,而且fly的图文更详细。
这样的帖子也加精,难道是因为楼主用的是繁体字?
雪    币: 206
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
破浪 活跃值 2006-10-24 12:01
12
0
太好了,这个软件以前一直不太会用,现在学习了,谢谢!

不过,楼主提供的http://www.sendspace.com/file/lc9xxu这个地址中的文件下载不了,本来我也想练习一下,能否另外提供一个有效地址
雪    币: 2165
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chenpei 活跃值 2006-11-25 21:34
13
0
入门级的学者需要这样的详细教程,每一个字给初学者来都重要,对于能者来说,省去很多都没问题。
支持,支持详细图文教程,甚至视频更好。让更好的初学者的学习更进一步,谢谢所有贡献者。
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
clide2000 活跃值 7 2006-11-25 22:34
14
0
收藏学习了,谢谢
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
边城浪子 活跃值 2006-11-26 00:17
15
0
不错,收了,谢谢
雪    币: 200
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kxxf 活跃值 2006-11-26 16:18
16
0
最初由 cxlrb 发布
fly有个演示和这个一样,是修复arm的

想看看,没找到
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xinix 活跃值 2006-11-27 09:50
17
0
加精

这好文
游客
登录 | 注册 方可回帖
返回