-
-
[旧帖]
[求助]用LOADPE区域脱壳后的dmp文件怎么组成一个新的文件
0.00雪花
-
发表于:
2011-6-16 11:41
1555
-
[旧帖] [求助]用LOADPE区域脱壳后的dmp文件怎么组成一个新的文件
0.00雪花
仅仅区域脱壳出上面的处理Stolen Code壳代码部分是不行的。
为了修复CALL EAX和FindResourceA的问题,所以共区域脱壳出以下部分壳代码:
00B60000-00B85000.dmp
00B90000-00B94000.dmp
00B98000-00B9C000.dmp
00BA0000-00BA4000.dmp
00BC0000-00BF0000.dmp
“组装”一下dumped.exe,从磁盘载入刚才部分脱壳的五部分。
减去基址后分别修改其虚拟地址为00760000、00790000、00798000、009A0000、009C0000
只保留PETools的“验证PE文件”选项,重建PE。
F
如何重建PE???
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
