-
-
[求助]execryptor无法修复IAT
-
发表于:
2010-3-7 23:24
3021
-
PEID0.95侦测 EXECryptor V2.2X-V2.4X -> StrongBit Technology * Sign.By.fly *
OD载入后,我用脚本或者手动跑都能找到真正的OEP
004274E4 55 PUSH EBP
004274E5 8BEC MOV EBP,ESP
004274E7 6A FF PUSH -1
004274E9 68 507A4400 PUSH DolPP.00447A50
004274EE 68 BC914200 PUSH DolPP.004291BC
004274F3 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
然后DUMP,再打开ImportREC,OEP填274E4点搜索,说“无效的OPE值,不能与进程匹配”。
跑Execryptor_2.xx_IAT_Fixer_v1.01SC脚本。结果如下
Script Log Window
Address Message
7C92120F imgbase: 00400000
7C92120F EPAddr: 005AF108 | DolPP.<ModuleEntryPoint>
7C92120F SizeofImage: 001B0000
7C92120F 1stsecsize: 00044000
7C92120F 1stsecbase: 00401000
7C92120F CallBackTableVA 005AF114
5AF108 ESP_EP: 0012FFC4
4274E4 OEP= 004274E4
4274E4 iat_start: 0044515C
4274E4 iat_end: 00445474
根据脚本跑出来的IAT,用importREC手动输入RVA=0044515C,SIZE=318。点获取输入表,得到的全是无效。请问该如何操作?
内存数据:
00445000 E0CA404A
00445004 9E242AA2
00445008 4D852B8C
0044500C 9CCAC6FD
00445010 00000000
00445014 1BD594F6
00445018 00000000
0044501C 23094BA5
00445020 21E883A0
00445024 F1989B3B
00445028 0A5A7BDC
0044502C C83A70A8
00445030 9E1F1914
00445034 E5E3C9A7
00445038 0B29E94E
0044503C B4BDBAFD
00445040 738F93A6
00445044 B75CFA75
00445048 2A210A21
0044504C 9239CAF5
00445050 3912201C
00445054 758C87CD
00445058 327E5D2A
0044505C F5C7A2B4
00445060 C10A21EB
00445064 99AAA05A
00445068 C87168C2
0044506C 0DEA1178
00445070 5F0223D4
00445074 99FD7F81
00445078 86FECAC4
0044507C 089B96D6
00445080 8449B8F7
00445084 B5E59DAC
00445088 7EA0FD9A
0044508C 977F5553
00445090 917588BD
00445094 93EB57EF
00445098 C5C3EA93
0044509C 00000000
004450A0 6366E8C1
004450A4 B399EAB4
004450A8 12314A58
004450AC 703DAD7C
004450B0 68E60D21
004450B4 EC09CF43
004450B8 D9A59D1C
004450BC 6AC7A684
004450C0 CBE87732
004450C4 1F8F7549
004450C8 AB6F6850
004450CC D8AE26AC
004450D0 EC628A13
004450D4 33B9B1FF
004450D8 6B3715A4
004450DC 2307A577
004450E0 BC7A4FE1
004450E4 DFE7DDD2
004450E8 B607C5D9
004450EC C2661487
004450F0 27203367
004450F4 BB3D655D
004450F8 425178C7
004450FC A53E800C
00445100 41994DA4
00445104 CE4398D2
00445108 D910E61B
0044510C EF40275A
00445110 F55F691E
00445114 E6E27B81
00445118 146F49FD
0044511C 08F04D2A
00445120 762CF2B6
00445124 76BED652
00445128 0B6E7C00
0044512C 6E201371
00445130 31555638
00445134 2FD711C7
00445138 78D749BA
0044513C 8CDA3369
00445140 139A6E0D
00445144 76941274
00445148 37DE7A9E
0044514C 6A5246F2
00445150 AE3B8337
00445154 84CE5112
00445158 D93FB279
0044515C 7C80D302 kernel32.GetLocaleInfoA
00445160 A307A8FD
00445164 2E1F3F33
00445168 E4057E57
0044516C BE0E436A
00445170 A72DBD13
00445174 83CAE34A
00445178 52457235
0044517C 31AD19A5
00445180 85EC813A
00445184 AD441587
00445188 E7B7A016
0044518C DEB948AD
00445190 237B8FFD
00445194 7D1792DA
00445198 D291551F
0044519C 98ECB27A
004451A0 FA27EAAB
004451A4 6EEB9C64
004451A8 954BCB3A
004451AC B50A5573
004451B0 8A1B1C2A
004451B4 39119B3D
004451B8 BC4DDFE9
004451BC FE20B703
004451C0 6C8A541C
004451C4 A07C5C7E
004451C8 46E1FE9F
004451CC AF1813F7
004451D0 22487C51
004451D4 494DEDDB
004451D8 2650DE4B
004451DC D853B24E
004451E0 E7A22A6A
004451E4 38BEF2FC
004451E8 5EEB19CC
004451EC 80C63A9B
004451F0 69272385
004451F4 A5E72F8D
004451F8 11C50603
004451FC D4346A52
00445200 F9B4396C
00445204 E7279B72
00445208 7DA8E93B shell32.7DA8E93B
0044520C E733EE24
00445210 95327FA0
00445214 1B4F85CA
00445218 3286E3EF
0044521C C4C47B94
00445220 BDD7AA41
00445224 244F4F5F
00445228 99C40859
0044522C 10BE6828
00445230 A849050A
00445234 66E960A5
00445238 33AF999E
0044523C 9033A427
00445240 90C287D7
00445244 7C80FFB9 kernel32.GlobalLock
00445248 9BA8E745
0044524C B935E727
00445250 33F5BCE2
00445254 57825C7B
00445258 D398C803
0044525C 1249D7FC
00445260 EEC00D12
00445264 AEF9CB23
00445268 4078A6FA
0044526C 68CF204B
00445270 03246691
00445274 BFC7F5EB
00445278 A789DD30
0044527C 4C3CB0CF
00445280 5C1A9E20
00445284 EDD360CA
00445288 744FF4DF
0044528C 71739D8A
00445290 7C832B86 kernel32.GetPrivateProfileStringA
00445294 055CF889
00445298 77B34915
0044529C 1D3357CD
004452A0 F36217A7
004452A4 BBC52F1A
004452A8 3977FB99
004452AC 0C84F3B7
004452B0 E67F7B61
004452B4 19338CDB
004452B8 B666C46E
004452BC B513C2F2
004452C0 F38AE49A
004452C4 E95FC3BB
004452C8 701F1169
004452CC FB1DAB2B
004452D0 7C802446 kernel32.Sleep
004452D4 13EA001B
004452D8 01382A2F
004452DC F2414F8F
004452E0 03EF302D
004452E4 FD63F8F5
004452E8 B192AD63
004452EC 7C809BE7 kernel32.CloseHandle
004452F0 3B1CDC4B
004452F4 A3916011
004452F8 00000000
004452FC 95BF5AB5
00445300 00000000
00445304 31D6BA6C
00445308 3164F69A
0044530C D478C871
00445310 5E831096
00445314 17B33775
00445318 10DAAC3C
0044531C 21385F97
00445320 77D2AEAB user32.UpdateWindow
00445324 0892E16C
00445328 6AD36B21
0044532C 78AA8A32
00445330 BB3EC09E
00445334 407D8558
00445338 E93607F5
0044533C 6621119A
00445340 1CC40830
00445344 1B470701
00445348 884C1651
0044534C E176A0FD
00445350 D8BFFD98
00445354 A98458F2
00445358 AA18ED32
0044535C 3E97F534
00445360 AEBD84FE
00445364 5D1CC585 COMCTL32.5D1CC585
00445368 24A44DA6
0044536C 6D438156
00445370 31825F02
00445374 A671C6F9
00445378 FA3CE76A
0044537C 339482F9
00445380 506A9E56
00445384 FDDBF445
00445388 14127DA0
0044538C 9E4AAA94
00445390 CB6AF1EA
00445394 77D30094 user32.RemovePropA
00445398 77D2C17E user32.DefWindowProcA
0044539C 04CCE5C1
004453A0 307AA9DA
004453A4 156F1118
004453A8 69EFC847
004453AC 77D2C29D user32.SetWindowLongA
004453B0 D6D46DC7
004453B4 3FB7E0C9
004453B8 BA1226B8
004453BC 29A88B75
004453C0 69E4FC6C
004453C4 70F5B2BB
004453C8 D7DBAEE3
004453CC B0A9A4CE
004453D0 A5AA410E
004453D4 A93B04A5
004453D8 DD7B0BCF
004453DC 572B817E
004453E0 F2579C92
004453E4 61B05C02
004453E8 199D6970
004453EC DA7BC8EC
004453F0 EC8A51DC
004453F4 4A830E45
004453F8 77D2910F user32.GetParent
004453FC 955E3368
00445400 535A377B
00445404 08E7F77B
00445408 548B98E1
0044540C DA501284
00445410 367F85E4
00445414 702C723A
00445418 E0A25E93
0044541C 6C997672
00445420 8AB90B2C
00445424 3499F13B
00445428 AA2B075F
0044542C 16090C5A
00445430 EAE38156
00445434 46432A4D
00445438 836663C5
0044543C 4D0A6406
00445440 326A5273
00445444 F01DA61E
00445448 3061D2EF
0044544C 370EEA88
00445450 77D29849 user32.EnableWindow
00445454 450E44B8
00445458 1A04E46D
0044545C 7EC284F1
00445460 CA8BBE67
00445464 B066D36B
00445468 CACCEBFD
0044546C 9A36E51B
00445470 035E21CF
00445474 77D2AF56 user32.ShowWindow
00445478 7B43CA78
0044547C 612D8E9E
00445480 454CE1A9
00445484 0EBA1225
00445488 51E3E88F
0044548C 31AD91C3
00445490 AFE00A8E
00445494 41A852F4
00445498 01290E34
0044549C EC81719C
004454A0 E6C58BAA
004454A4 89B5591E
004454A8 F4452FF0
004454AC 1A3C5949
004454B0 477817F8
004454B4 E1A4410C
004454B8 976D3A7D
004454BC 77D4F24E user32.GetMenuStringA
004454C0 827D1108
004454C4 77D3E577 user32.DefDlgProcA
004454C8 EBCEDBBE
004454CC 77D2C8B0 user32.CharNextA
004454D0 BB1CBAE0
004454D4 CE8413F9
004454D8 A0A1EB68
004454DC 00000000
004454E0 1CA86ABE
004454E4 765AF6A0
004454E8 61D07B15
004454EC 00000000
004454F0 1170B877
004454F4 C19EB066
004454F8 CAE29E6C
004454FC 73A90445
00445500 03D3B3F1
00445504 CFB1E1FC
00445508 392ABEAA
0044550C E82701F1
00445510 A87E7372
00445514 B9FD6BD5
00445518 7F51B538
0044551C 00000000
00445520 DED475A5
00445524 A4A1DFA6
00445528 E167E17E
0044552C 00000000
00445530 9999999A
00445534 3FB99999
00445538 00000000
0044553C 00000000
00445540 447A0000
00445544 00000000
00445548 9D353918
0044554C 3F91DF46
00445550 00000000
00445554 00000000
00445558 00400080 PP.00400080
0044555C 3F000020
00445560 00446550 PP.00446550
00445564 00445568 PP.00445568
00445568 00000111
[课程]FART 脱壳王!加量不加价!FART作者讲授!
