|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows核心编程CHM版
不错,收藏一下 |
|
用Ollydbg手脱EncryptPE V1.2003.5.18加壳的DLL
对于下面的有没有详细讲解的,偶菜鸟看不懂啊 因为已经避开了IAT加密,所以现在可以得到完整的输入表。随便从程序找个API调用: 008710FD FF15 20408700 call dword ptr ds:[874020]; kernel32.GetVersion 在转存中跟随874020,上下看到许多函数地址,很明显的可以找到IAT开始和结束的地址: 代码:-------------------------------------------------------------------------------- ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ IAT: 00873FF0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00874000 1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77 Q镊:镊>缒w桃镊 008740B0 CE 7C E5 77 05 74 E5 77 F9 81 E5 77 EB 41 E4 77 吸鬻t鬻?鬻肓澉 008740C0 66 C8 E5 77 3E 18 F6 77 00 00 00 00 00 00 00 00 f儒w>鲼........ ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ -------------------------------------------------------------------------------- 开始地址=00874000 结束地址=008740C9 运行ImportREC,去掉“使用来自磁盘的PE部首”的选项!选中Ollydbg的loaddll.exe的进程,然后点“选取DLL”,选择EdrLib.dll,填入填入RVA=00004000、大小=C8、OEP=000011C9 ,点“Get Import”,得到输入表,FixDump! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值