首页
社区
课程
招聘
[求助]手动脱壳进阶第二篇Telock0.98遇到的问题
发表于: 2013-3-11 22:12 4779

[求助]手动脱壳进阶第二篇Telock0.98遇到的问题

2013-3-11 22:12
4779
最近在开始学脱壳,找到论坛以前的一个《破解实例信息资源豪华版-通往脱壳高手必经之路》的文档来看。以前都还算正常,今天晚上在进行到进阶篇的第二篇时,遇到不能解决的问题,百度,谷歌无效只能求助各位大侠了。磕头,致谢!
   我已经成功跟到
004010CC 55 PUSH EBP 跨段来到这里,我们再这里用Od的Dump插件直接脱壳。
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4]
004010D9 8BF0 MOV ESI,EAX
004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT Note_tEl.004010FC
004010E1 56 PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[4064F4]
004010E8 8BF0 MOV ESI,EAX
004010EA 8A00 MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0 TEST AL,AL

这里的出口处,并dump出来,在修复输入表的时候遇到问题:
教程中的原文是这样的:
脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)
在Oep处填10CC,点IT自动搜索,然后点获输入信息,看到输入表有无效的,点显示无效按钮,再在无效的指针处点右键用追踪层次3(捕获标记)方式修复,还提示有一个未修复的指针,这是什么???这是Telock加密输入表放入的垃圾,让Imprec无法修复指针,很简单,这这个垃圾指针处点右键,选择剪切指针后,Imprec提示你可以修复脱壳文件了,修复脱壳文件,正常运行。

我在使用追踪层次3后,发现一个指针都没能给修复啊,无奈,硬着头皮给修复了,点击运行果然报错。后来搜素看到,有看到论坛里以为前辈提过要修复一下镜像大小,于是又用lordpe修复镜像大小然后dump出来,那个输入表修复依然没有解决,也硬着头皮继续修复了,果然还是不能运行啊。
请问,各位大侠,问题出来哪里了呢?是修复输入表的时候不对吗,还是我Oep的入口不对呢?

要脱壳的文件地址在这里了:本地下载

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 98
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
OEP正确,指针没有修复。
2013-3-11 23:38
0
雪    币: 43
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
指针是没修复好,额,可是难道138个指针都要手动修复吗?我滴娘唉,要命啊
2013-3-12 08:43
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
附件下不了,本来有点空帮你看看的。。。。
2013-3-12 09:14
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
2013-3-14 22:34
0
游客
登录 | 注册 方可回帖
返回
//