-
-
[求助]PEBundle脱壳后IAT修复出现无效指针,求指导
-
2013-8-5 09:30
-
软件名称:ATmanavr
版本:6.05
壳:PEBundle 2.0b5 - 3.0x -> Jeremy Collake
无Overlay
OD载入后查找了Magic JMP
005F5FE1 50 push eax ; ntdll.RtlInitializeCriticalSection
005F5FE2 51 push ecx
005F5FE3 E8 97FBFFFF call AtmanAvr.005F5B7F
005F5FE8 85C0 test eax,eax
005F5FEA 74 02 je short AtmanAvr.005F5FEE
修改成JMP后ESP定律查找到OEP
//OEP
005180F4 /. 55 push ebp
005180F5 |. 8BEC mov ebp,esp
005180F7 |. 6A FF push -1
005180F9 |. 68 00295900 push AtmanAvr.00592900
005180FE |. 68 92805100 push AtmanAvr.00518092 ; jmp to msvcrt._except_handler3; SE 句柄安装
然后使用Dump使用ImpREC 1.7c进行修复,仍然有一个无效指针,如下图
RVA为005756A8,内容为00401220并且这个地址内的内容在程序加载后一直到运行后都没有出现变化。调试跟踪应该是MFC42.#4274_CWinApp::messageMap(个人水平有限,不知道是否正确)
将这个无效IAT CUT后程序可以运行,但是大部分的菜单及工具栏图标无法正常工作,应该也是MessageMap出现问题。
求各位指点如何完整脱壳并修复。附上原程序。
AtmanAvr.rar
版本:6.05
壳:PEBundle 2.0b5 - 3.0x -> Jeremy Collake
无Overlay
OD载入后查找了Magic JMP
005F5FE1 50 push eax ; ntdll.RtlInitializeCriticalSection
005F5FE2 51 push ecx
005F5FE3 E8 97FBFFFF call AtmanAvr.005F5B7F
005F5FE8 85C0 test eax,eax
005F5FEA 74 02 je short AtmanAvr.005F5FEE
修改成JMP后ESP定律查找到OEP
//OEP
005180F4 /. 55 push ebp
005180F5 |. 8BEC mov ebp,esp
005180F7 |. 6A FF push -1
005180F9 |. 68 00295900 push AtmanAvr.00592900
005180FE |. 68 92805100 push AtmanAvr.00518092 ; jmp to msvcrt._except_handler3; SE 句柄安装
然后使用Dump使用ImpREC 1.7c进行修复,仍然有一个无效指针,如下图
RVA为005756A8,内容为00401220并且这个地址内的内容在程序加载后一直到运行后都没有出现变化。调试跟踪应该是MFC42.#4274_CWinApp::messageMap(个人水平有限,不知道是否正确)
将这个无效IAT CUT后程序可以运行,但是大部分的菜单及工具栏图标无法正常工作,应该也是MessageMap出现问题。
求各位指点如何完整脱壳并修复。附上原程序。
AtmanAvr.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
