-
-
[旧帖]
[求助]用LOADPE区域脱壳后的dmp文件怎么组成一个新的文件
0.00雪花
-
发表于:
2011-6-16 11:41
1527
-
[旧帖] [求助]用LOADPE区域脱壳后的dmp文件怎么组成一个新的文件
0.00雪花
仅仅区域脱壳出上面的处理Stolen Code壳代码部分是不行的。
为了修复CALL EAX和FindResourceA的问题,所以共区域脱壳出以下部分壳代码:
00B60000-00B85000.dmp
00B90000-00B94000.dmp
00B98000-00B9C000.dmp
00BA0000-00BA4000.dmp
00BC0000-00BF0000.dmp
“组装”一下dumped.exe,从磁盘载入刚才部分脱壳的五部分。
减去基址后分别修改其虚拟地址为00760000、00790000、00798000、009A0000、009C0000
只保留PETools的“验证PE文件”选项,重建PE。
F
如何重建PE???
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
