摘要:文章標題不知道怎么取��。�。。如果文件被反編譯修改后���,和源文件是有差別的��,文件大小���,格式里面的各種段是會改變的����,這就導(dǎo)致無法和原版做對比。
文章標題不知道怎么取��。��。����。 所需工具:010editor.NET Reflector 一款國外破解版的游戲,u3d引擎���,想看修改了啥��,但是無奈打開后是這樣的
dll加密了����,首先想到的是從內(nèi)存中去摳出來,于是經(jīng)過一番操作后從內(nèi)存中扣出來����,具體怎么從內(nèi)存中,這里略過�����,不是本文重點�����,網(wǎng)上可以自己找找�。使用反編譯工具打開后還是這樣
這么牛逼,不用解密就能執(zhí)行的嗎�,
好吧,那對比下��,
納尼�??��?內(nèi)存中摳出來的和加密后的文件對比是一模一樣的,說明它可能不需要解密就能執(zhí)行�����,那就是可能是破壞了某些段導(dǎo)致反編譯工具無法正確反編譯���,pe格式是這樣的�,某些段可以修改后不影響執(zhí)行��。如果dll文件被反編譯修改后�����,和源文件是有差別的��,文件大小�,pe格式里面的各種段是會改變的�����,這就導(dǎo)致無法和原版做對比����。
祭出文件萬能打開工具010editor,還有pe格式模板下載:https://www.sweetscape.com/010editor/repository/templates/搜索:EXE.bt打開后:
明顯缺了好多個段
����,
下面就開始本文的重點了手動修復(fù)試試映入眼簾��,一眼看出pe格式頭部被破壞����,pe格式標準頭部:50 45 00 00每次改后,就重新執(zhí)行一下模板�,再使用.NET Reflector打開試試,如果能正確反編譯就證明修改完成
解析錯誤證明有些段的偏移被破壞過了�����,導(dǎo)致模板無法正常跑通
指向OPTIONAL_HEADER32的大小是0xE0,但是這里只解析到0xA0��,很明顯就是錯的���。 接下來我們看OPTIONAL_HEADER32結(jié)構(gòu)體����,有幾個很重要的信息
這里我們要驗證下那個指向程序入口的地址��,0x34484E�����,計算公式是0x34484E – 0x2000 +0x200 = 0x342A4E跳過去看一下,是對的��,一般入口都是 FF 25開頭
再來看下面幾個段信息���,都是錯的有一點要知道�,就是3個段都會是緊挨著的��,也就是說一個段結(jié)束后����,另一個段就接下去,比如text段是0 – 0x100,那下一個段就是0x100 – 0xxxxx,基于這點��, 康康IMAGE_SECTION_HEADER段
上面的真實text段就是從0x200 – 0x342854這個區(qū)間0x342854 - 0x342A00區(qū)間用00補足�����,遵循對齊所以下一個區(qū)段真實地址就是0x342A00 + 0x200 = 0x342C00 下一個區(qū)段虛擬地址就是0x342A00 + 0x2000 = 0x344A00,這里的虛擬地址這樣加過之后還不行����,因為內(nèi)存中的對齊值是0x2000,所以0x344A00還要再加����,也是用00補足�����,加到0x2000的整數(shù)倍��,最終下一個區(qū)段的虛擬地址就是0x346000
所以把下一個區(qū)段的VirtualAddress和PointerToRawData改過來����,
再看看下一個段�,是正確的 在運行一下模板,還是報錯�����,那就肯定還有哪里有錯�,我們上面修復(fù)了段的指向問題了,再回去看看OPTIONAL_HEADER32結(jié)構(gòu)體�,這個結(jié)構(gòu)體太重要了,包含了很多信息
上面導(dǎo)入表需要計算多次��,跳轉(zhuǎn)多次�����,是個指針就加加減減這里就不錯描述了,因為這個地方我算過了�,是沒錯的主要看Resource結(jié)構(gòu)體,我們在上面已經(jīng)修復(fù)過.rsrc結(jié)構(gòu)體�����,這個就是對應(yīng)Resource結(jié)構(gòu)體�,改成一樣的
再執(zhí)行一下模板,ok���,成功跑通���,沒有報錯,再使用.NET Reflector打開康康
成功�����,接下去再去導(dǎo)出所有cs文件和原版的對比�����,就能找出修改了哪里
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/125890.html
