快速提取程序中的DLL（不是100%成功）

uqwndggg · 2022-6-12 17:37:26

逆向环境：物理机WIN10
涉及工具：7-zip、任务管理器（系统自带）、（x32dbg）
教程类型：攻防战
是否讲解思路和原理：是
以下为图文内容：
1.普通无壳程序（例如易 C++ 等。不包含.net）我这里使用的是7-zip，可能需要一样，如果使用其他工具也能实现请回帖告知
先写一个demo程序
1-1.导入资源表

1-2.调用该资源（如果不调用依旧无法提取并且程序体积不会包含该dll）
快速提取程序中的DLL（不是100%成功） - uqwndggg_UltraDebug

然后编译
1-3.使用7-zip打开
快速提取程序中的DLL（不是100%成功） - uqwndggg_UltraDebug

这里点击# 或者#:e都可以，但是#只会列出资源表内第一个dll。如果点击#:e则会列出所有
快速提取程序中的DLL（不是100%成功） - uqwndggg_UltraDebug

这里直接提取即可获取到dll

原理：当你把dll添加进引用资源表，并且编译后，由于该文件是一个动态链接库，包含了PE头格式，所以当你尝试使用zip格式打开时，则会出现资源表里面的文件（dll/exe）

----------我是一条分割线----------

1.解决方法（未加壳）
1-1.加密过程
快速提取程序中的DLL（不是100%成功） - uqwndggg_UltraDebug

1-2.点击按钮后输出了一个加密dll
快速提取程序中的DLL（不是100%成功） - uqwndggg_UltraDebug

1-3.注入时解密过程
先引用已加密的dll
快速提取程序中的DLL（不是100%成功） - uqwndggg_UltraDebug

1-4.使用7-zip打开，已经无法看见加密后的dll
快速提取程序中的DLL（不是100%成功） - uqwndggg_UltraDebug

原理：当你将该文件（dll）加密时，PE头已发生变化（已经变成非动态链接

还有更多的精彩内容，作者设置为付费后可见

账号		自动登录	找回密码
密码			立即注册

[分享] 快速提取程序中的DLL（不是100%成功）

相关帖子