OllyDbg之loaddll.exe问题 本文来自: UPK软件安全社区 作者: fly 日期: 2007-4-4 13:25 阅读: 4280人 收藏

fly

附件中的dll是在lrlzzgs的求助贴里面看到的
PECompact 1.68 - 1.84 压缩壳加壳

LOADDLL.EXE：Unable to load DLL

直接用OllyDbg载入会提示出错无法载入
看了一下

1. 10018950     51                  push ecx
   
2. 10018951     3D 00100000         cmp eax,1000
   
3. 10018956     8D4C24 08           lea ecx,dword ptr ss:[esp+8]
   
4. 1001895A     72 14               jb short 10018970
   
5. 1001895C     81E9 00100000       sub ecx,1000
   
6. 10018962     2D 00100000         sub eax,1000
   
7. 10018967     8501                test dword ptr ds:[ecx],eax
   
8. //堆栈溢值异常
   
9. 10018969     3D 00100000         cmp eax,1000
   
10. 1001896E     73 EC               jnb short 1001895C
    
11. 10018970     2BC8                sub ecx,eax
    
12. 10018972     8BC4                mov eax,esp
    
13. 10018974     8501                test dword ptr ds:[ecx],eax
    
14. 10018976     8BE1                mov esp,ecx
    
15. 10018978     8B08                mov ecx,dword ptr ds:[eax]
    
16. 1001897A     8B40 04             mov eax,dword ptr ds:[eax+4]
    
17. 1001897D     50                  push eax
    
18. 1001897E     C3                  retn

复制代码

还没确定是否是OllyDbg之loaddll.exe问题
欢迎大家讨论

简单解决方法：
找个DLL载入器，使用OllyDbg载入Dll_LoadEx.exe
通过Dll_LoadEx.exe载入此DLL进行调试即可

mervyn_81

fly大侠真的是事无巨细啊，呵呵

亚尔迪

我的OllyDbg的loaddll.exe

载入没有任何问题！

亚尔迪

OD调试DLL时基址不是10000000

1. 008B6000 R> /EB 06         jmp     short 008B6008
   
2. 008B6002    |68 4B9C0100   push    19C4B
   
3. 008B6007    |C3            retn
   
4. 008B6008    \9C            pushfd
   
5. 008B6009     60            pushad
   
6. 008B600A     E8 02000000   call    008B6011
   
7. 008B600F     33C0          xor     eax, eax
   
8. 008B6011     8BC4          mov     eax, esp
   
9. 008B6013     83C0 04       add     eax, 4
   
10. 008B6016     93            xchg    eax, ebx                           ; Reg.<模块入口点>
    
11. 008B6017     8BE3          mov     esp, ebx                           ; Reg.<模块入口点>
    
12. 008B6019     8B5B FC       mov     ebx, dword ptr ds:[ebx-4]
    
13. 008B601C     81EB 3F904000 sub     ebx, 40903F
    
14. 008B6022     87DD          xchg    ebp, ebx                           ; Reg.<模块入口点>

复制代码

怎么解决？

wynney

原帖由 亚尔迪 于 2007-4-5 19:50 发表
我的OllyDbg的loaddll.exe

载入没有任何问题！

把你的loaddll.exe传来test下

微笑一刀

问题产生的原因和解决办法估计也快出来了.偶等~

fly

原帖由 亚尔迪 于 2007-4-5 19:50 发表
我的OllyDbg的loaddll.exe
载入没有任何问题！

可以Shift+F9运行起来？

夜凉如水

那个例子说明白下吧  
10121CEE    2B71 08        sub esi, dword ptr ds:[ecx+8] //  ds:[10121834]=10000000 (unpack_k.10000000)
esi=10000000 (unpack_k.10000000)  基址

10121CF1    74 7A          je short unpack_k.10121D6D // ; 这里是比较映像基址是否相等，相等则不处理。改标志位Z=0，使这里不跳转

10121CF3    8971 08        mov dword ptr ds:[ecx+8], esi
10121CF6    8B01           mov eax, dword ptr ds:[ecx]
10121CF8    8DB5 B9FCFFFF  lea esi, dword ptr ss:[ebp-347]
10121CFE    8B36           mov esi, dword ptr ds:[esi]
10121D00    8D5E FC        lea ebx, dword ptr ds:[esi-4]
10121D03    83F8 01        cmp eax, 1
10121D06    74 0A          je short unpack_k.10121D12
10121D08    8BFA           mov edi, edx
10121D0A    0379 04        add edi, dword ptr ds:[ecx+4]
10121D0D    8B49 08        mov ecx, dword ptr ds:[ecx+8]
10121D10    EB 08          jmp short unpack_k.10121D1A
10121D12    8BFE           mov edi, esi
10121D14    0379 04        add edi, dword ptr ds:[ecx+4]
10121D17    8B49 08        mov ecx, dword ptr ds:[ecx+8]
10121D1A    33C0           xor eax, eax
10121D1C    8A07           mov al, byte ptr ds:[edi] // edi=1010D000  重定位表的RVA=10d000
10121D1E    47             inc edi  
10121D1F    0BC0           or eax, eax
10121D21    74 20          je short unpack_k.10121D43 // 重定位数据处理完， 则跳转
10121D23    3C EF          cmp al, 0EF
10121D25    77 06          ja short unpack_k.10121D2D
10121D27    03D8           add ebx, eax
10121D29    010B           add dword ptr ds:[ebx], ecx
10121D2B  ^ EB ED          jmp short unpack_k.10121D1A
10121D2D    24 0F          and al, 0F
10121D2F    C1E0 10        shl eax, 10
10121D32    66:8B07        mov ax, word ptr ds:[edi]
10121D35    83C7 02        add edi, 2
10121D38    0BC0           or eax, eax
10121D3A  ^ 75 EB          jnz short unpack_k.10121D27
10121D3C    8B07           mov eax, dword ptr ds:[edi]
10121D3E    83C7 04        add edi, 4
10121D41  ^ EB E4          jmp short unpack_k.10121D27
10121D43    33DB           xor ebx, ebx  //     edi =101139B8  重定位表的结束地址
10121D45    87FE           xchg esi, edi
10121D47    8B06           mov eax, dword ptr ds:[esi]
10121D49    83F8 00        cmp eax, 0

10121D4C    74 1F          je short unpack_k.10121D6D //这里不跳就会出现  Unable to load DLL   重定位的问题没搞好
10121D4E    AD             lods dword ptr ds:[esi]
10121D4F    0BC0           or eax, eax
10121D51    74 08          je short unpack_k.10121D5B
10121D53    03D8           add ebx, eax
10121D55    66:010C3B      add word ptr ds:[ebx+edi], cx
10121D59  ^ EB F3          jmp short unpack_k.10121D4E
10121D5B    33DB           xor ebx, ebx
10121D5D    C1E9 10        shr ecx, 10
10121D60    AD             lods dword ptr ds:[esi]
10121D61    0BC0           or eax, eax
10121D63    74 08          je short unpack_k.10121D6D
10121D65    03D8           add ebx, eax
10121D67    66:010C3B      add word ptr ds:[ebx+edi], cx
10121D6B  ^ EB F3          jmp short unpack_k.10121D60
10121D6D    8BDD           mov ebx, ebp

fly

Reg.dll只要载入的映像基址!=10000000，用OllyDbg的loaddll.exe就可以正常载入了
换句话说，只要Reg.dll无须重定位，OllyDbg的loaddll.exe载入后就有问题
汗

微笑一刀

是LOADDLL的原因.试试这个.经过测试可以加载.
在网上找到的.好像是修改版的LOADDLL.
原版里面附带的一句话:It uses LoadLibraryEx with DONT_RESOLVE_DLL_REFERENCES to load the dll without calling DllMain.


[ 本帖最后由 微笑一刀 于 2007-4-7 20:07 编辑 ]

fly

大家使用jingulong的loaddll+原版OllyDbg测试一下看看
如果可以正常加载的话，请Alt+E看看Reg.dll的基址是否＝10000000
是的话请贴下你的系统环境和防火墙杀软等信息

亚尔迪

微笑一刀 的可以正常加载：

jingulong的loaddll不能加载：

我的系统2K3 SP1无防火墙杀软

998

谢谢哥哥

xingke

测试一下

heXer

可以试试我的loaddll

更新的附件在20楼

[ 本帖最后由 heXer 于 2007-4-20 10:28 编辑 ]