-
-
脱大补贴1.84G的壳!
-
发表于:
2005-1-20 13:09
3867
-
先找几个工具: PEiD 、Ollydbg 、LordPE、ImportREC
1、用PEiD查壳,报告为ASPack 2.12 壳,就用ASPACKDIE脱了它。
2、还有一层壳,PEID查不出来,但是PEID的Generic OEP Finder插件可以查到它的OEP=00475CEC。
3、用Ollydbg载入已经脱去第一层壳的大补贴,按SHIFT+F7 F8 F9 (忽略异常),直接下命令 G 00475CEC 。程序暂停下来:
00475CEC 55 DB 55 CHAR 'U'
00475CED 8B DB 8B
00475CEE EC DB EC
4、不要退出Ollydbg,运行LordPE 找到大补贴的进程,单击右键,选择“完全DUMP”保存为DUMPED。EXE 退出LordPE
5、启动ImportREC找到大补贴的进程,OEP栏改为00075CEC,点击“IAT自动搜索”,点击“修复抓取文件”,找到刚才用LordPE脱掉后未修复的DUMPED。EXE
进行修复,自动保存。
6、脱壳后用PEID检查为Delphi。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
