-
-
[求助]双重壳的脱壳问题
-
发表于:
2005-6-3 21:00
4648
-
初学 crack,请多指教 ...
遇到一个 delphi 编写的软件,先用 peid 报 upx 壳(此时大小 ~2M),使用 upx -d 脱壳后(文件大小~4M),运行脱壳文件出错;
直接使用 prodump 得到 ~9M 的 exe,运行 dump 文件出错,使用 importrec 修复引入表能正常运行,不过不能被 dede 正常识别,郁闷!
大小怎么差别这么大?用 peid 再监测 upx 脱壳的文件,发现还有一层 aspack 2.12 加的壳,不过这时用 AspackDie、UnAspack 等继续脱壳都报错,使用 pe editor 发现好像是 upx -d 脱壳时没能正确恢复引入表导致无法进一步脱壳。但此时使用 importrec 等修复引入表还是无法运行 ...
请教大虾怎么修复这个“加壳程序”的引入表,使之可以二次脱壳?
或者,为什么 dede 无法直接分析 dump 的应用程序?
[课程]Android-CTF解题方法汇总!