• 标 题: 第五章.Dump工具的比较
  • 作 者:Lenus
  • 时 间:2005-10-15 20:57

第五章.Dump工具的比较
 “今天将要结束,明天也将结束,难以结束的是昨天。”
                                                    ---安东尼奥•波契亚
在论坛上经常会看到一些人问:什么工具dump好用?为什么要用ollydump来dump呢?等等。下面我来总结一下几种dump工具的优缺点。

注意:下面的文字只是我个人的感觉,由于水平问题很难保持客观性。请三思!

一.  比较

1.  ProcDump
  这个工具我现在也不太用了,他是使用MODULEENTRY32来获取进程信息的工具,它会读取目标进程的IMAGE_DOS_SIGHATURE和IMAGE_NT_SIGNATURE标志。其他的就不检验了。如果不完整,他会打开进程的原始文件,读取它的原始文件,读取它的文件头以取代进程的文件头。


2.  LordPE
  这个工具我使用得最多,但并不是说它是最好的。只是一个习惯问题。它基本上也和ProcDump一样使用MODULEENTRY32来获取进程信息。然而我们可以看到LordPE的Options里面的设置
 
 
  在这里面就有直接从磁盘获取PE Head的默认选项,也就是说基本上他的PE Head都是从磁盘获得的。

  同时,在观察区域属性和获取其他的区域数据的时候LordPE的dump region功能非常强大,这点是OllyDump不足的。在以壳解壳的技巧中,LordPE的此功能将是决定意义的。但是它的不足前面也提到过,有些进程在权限上不可读的时候,将是它致命的伤!

3.  OllyDump
  这是一个OD的插件,基本上的原理和功能差不多。但是,正是由于它是OD的插件,它能通过OD获得更多的权限。在前面的例子中我们能看到,对于内存属性的问题,依靠OD强大的功能OllyDump能dump下一些LordPE所不能dump的进程。而它的“获取EIP值作为OEP”也是一个亮点。
  
  至于缺点那么,最最突出的就是上面的默认的重建输入表选项。我们知道,对于一些加密壳来说,他们的输入表就连ImportREC这样专业的输入表修复工具,它的三个等级的修复也未必能修复出来,而这两个方式1和方式2的确有点添足的意思。其实我并不是反对它增加功能,我只是希望不要做成默认的选项!当然如果还是不改进,有空还是要DIY一下的。^-^
第二个缺点,就是它不能dump下其他区域的数据,这一点很是无奈。这也是为什么我比较习惯使用LordPE的原因。
二.小结
  工具的好坏,只是思想和工作程度的问题。只要我们掌握了工具工作的原理和思想,那么加以时日,我们也可以写出自己用着顺手的工具来。“真正的cracker高手的工具都是自己写的,内部使用的”对于前半句,我双手赞成,对于后半句嘛….我觉得cracker的精神里面除了学习(learn)的第一精神以外,还应该是共享(share)的精神。