-
-
[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]脱壳问题
-
发表于:
2010-10-15 19:29
3704
-
[求助]UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]脱壳问题
脱壳修复IAT时,有三个不能识别的导出函数
00566E54 75BB5D3D apphelp.75BB5D3D
00566E58 76692864 kernel32.LoadLibraryA
00566E5C 766928D7 kernel32.GetModuleHandleA
00566E60 7668EF66 kernel32.Sleep
00566E64 7668F176 kernel32.GetLastError
00566E68 7669060C kernel32.GetCurrentProcess
00566E6C 6F6323EB AcLayers.6F6323EB
00566E70 7668F212 kernel32.GetCurrentThreadId
00566E74 7668F17D JMP to ntdll.RtlSetLastWin32Error
00566E78 7668924D kernel32.SizeofResource
00566E7C 7668922F kernel32.FindResourceW
00566E80 7668B6BF kernel32.LoadLibraryExW
00566E84 76690F86 kernel32.WideCharToMultiByte
00566E88 7668F198 kernel32.HeapFree
00566E8C 77B6210D ntdll.RtlAllocateHeap
00566E90 7668F24C kernel32.GetProcessHeap
00566E94 76690E69 kernel32.MultiByteToWideChar
00566E98 76691074 kernel32.GetModuleFileNameA
00566E9C 7668CC7A kernel32.lstrcpyA
00566EA0 7667A712 kernel32.GetWindowsDirectoryA
00566EA4 6F6326D3 AcLayers.6F6326D3
apphelp的ImageBase为:75B90000
apphelp的导出函数的RVA中没有这个偏移。
0041BB07 FF15 546E5600 CALL DWORD PTR DS:[566E54] ; apphelp.75BB5D3D
应该是调用非导出函数。
0045F948 8945 00 MOV DWORD PTR SS:[EBP],EAX ; AcLayers.6F6323EB
EAX=6F6323EB
这个应该是全局变量
请问这些IAT怎样修复?
原程序下载地址:
http://u.115.com/file/f184d4c5db
有时间请大神们看下。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
