-
-
[旧帖]
[分享]修复引入表
0.00雪花
-
发表于:
2010-6-11 12:15
1249
-
首先Peid查壳,为MoleBox 2.x.x -> Mole Studio [Overlay],OD载入运行,无任何异常,判断其为压缩壳。 esp定律脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)在Oep处填8636F,点IT自动搜索,然后点获输入信息,有9个指针没有修复。千万别用等级1修复,看看如图,等级修复的些什么,这些假东西保存程序肯定无法运行的。 呵呵,用跟踪等级3为我们修复3个,剩下6个就靠我们自己了。 我以 00089100 处 004D48A8 处的指针修复举个例子。 右键-反汇编/16进制显示 004D48BF call [4D80F0] // = kernel32.dll/001F/CloseHandle //这里最先看到CloseHandle就是我们要修复的指针。 其余的方法一样,注意并不是所有的脱壳程序都可以用这个方法,如Asprotect 1.23rc4无法修复的指针就可以用这个办法修复,切勿过于依赖,每个加密壳处理方法都不相同。 于是我们手动填入 CloseHandle 同理修复其它
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
