-
-
脱大补贴1.84G的壳!
-
发表于:
2005-1-20 13:09
3868
-
先找几个工具: PEiD 、Ollydbg 、LordPE、ImportREC
1、用PEiD查壳,报告为ASPack 2.12 壳,就用ASPACKDIE脱了它。
2、还有一层壳,PEID查不出来,但是PEID的Generic OEP Finder插件可以查到它的OEP=00475CEC。
3、用Ollydbg载入已经脱去第一层壳的大补贴,按SHIFT+F7 F8 F9 (忽略异常),直接下命令 G 00475CEC 。程序暂停下来:
00475CEC 55 DB 55 CHAR 'U'
00475CED 8B DB 8B
00475CEE EC DB EC
4、不要退出Ollydbg,运行LordPE 找到大补贴的进程,单击右键,选择“完全DUMP”保存为DUMPED。EXE 退出LordPE
5、启动ImportREC找到大补贴的进程,OEP栏改为00075CEC,点击“IAT自动搜索”,点击“修复抓取文件”,找到刚才用LordPE脱掉后未修复的DUMPED。EXE
进行修复,自动保存。
6、脱壳后用PEID检查为Delphi。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
