能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
文章后已经说了,如果避开重定位则不须修正基址
我脱壳后的文件简单优化了一下,你可以删除后面的无用区段,用lordpe重建就行了
多练练就熟了,先从EXE脱壳开始吧,dll有点烦人
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
感谢您的回复:
>>如果避开重定位则不须修正基址
但是我不避开的话,修正基址到 3B0000 也不成啊.(OEP 11C9),执行时会报错的.
>>我脱壳后的文件简单优化了一下,你可以删除后面的无用区段,用lordpe重建就行了
我任意删除??我试了删 ASPACK 和 adata 的数据段,但是都会导致错误,还有 Import REConstructor 自己增加的区段,您是不是没有用新增段的模式进行 IAT 修正的呢??
>>多练练就熟了,先从EXE脱壳开始吧,dll有点烦人
谢谢指点,既然已经褪了,就干到底吧.以前都是直接 ASPACKDIE UNASPACK 什么的,感觉不爽,看了你出了那么多文章,感觉好棒,好好开始学习 OD 了.以前都是 SOFTICE 的.现在感觉 OD 也不错.
希望 您 以后多出文章啊.
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
但是我不避开的话,修正基址到 3B0000 也不成啊.(OEP 11C9),执行时会报错的.
――什么错误?其他的都修复好了没有?
你可以用aspack加个记事本,然后看看比未加壳的记事本多了哪些区段,就知道什么区段是壳增加的,脱壳后就可以删除了
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
呵呵,突然想起来以前也有人对你的文章发表过的一个帖子,我这里的基址不是 3B0000 而是 3D0000 呵呵。犯低级错误了,比较教条的跟着走了。
另外那个问题还是没有解决,ASPACK增加的 .ASPACK 段我都不能删除的啊。还有 MACKT 应该是 IMPORTREC 增加的。能去掉??我会再试试的。不过还是请告诉我您的大概操作步骤吧。谢谢啦!
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
MACKT 是是 IMPORTREC 增加的输入表部分,你可以在程序找段空地保存输入表,否则不能删除
你还是不删区段吧,直接用lordpe重建一下,注意不要清除重定位表
|
|
|
