最近在开始学脱壳,找到论坛以前的一个《破解实例信息资源豪华版-通往脱壳高手必经之路》的文档来看。以前都还算正常,今天晚上在进行到进阶篇的第二篇时,遇到不能解决的问题,百度,谷歌无效只能求助各位大侠了。磕头,致谢!
我已经成功跟到
004010CC 55 PUSH EBP 跨段来到这里,我们再这里用Od的Dump插件直接脱壳。
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4]
004010D9 8BF0 MOV ESI,EAX
004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT Note_tEl.004010FC
004010E1 56 PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[4064F4]
004010E8 8BF0 MOV ESI,EAX
004010EA 8A00 MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0 TEST AL,AL
这里的出口处,并dump出来,在修复输入表的时候遇到问题:
教程中的原文是这样的:
脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)
在Oep处填10CC,点IT自动搜索,然后点获输入信息,看到输入表有无效的,点显示无效按钮,再在无效的指针处点右键用追踪层次3(捕获标记)方式修复,还提示有一个未修复的指针,这是什么???这是Telock加密输入表放入的垃圾,让Imprec无法修复指针,很简单,这这个垃圾指针处点右键,选择剪切指针后,Imprec提示你可以修复脱壳文件了,修复脱壳文件,正常运行。
我在使用追踪层次3后,发现一个指针都没能给修复啊,无奈,硬着头皮给修复了,点击运行果然报错。后来搜素看到,有看到论坛里以为前辈提过要修复一下镜像大小,于是又用lordpe修复镜像大小然后dump出来,那个输入表修复依然没有解决,也硬着头皮继续修复了,果然还是不能运行啊。
请问,各位大侠,问题出来哪里了呢?是修复输入表的时候不对吗,还是我Oep的入口不对呢?
要脱壳的文件地址在这里了:
本地下载
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!