-
-
[求助]MP 脱壳后的基地址改变的修复问题
-
发表于:
2018-6-20 10:25
3777
-
程序是vmp壳,是用ximo大神的脱壳插件脱完壳,程序不能正常运行,在od中跟踪脱完壳的程序和加壳程序,发现
00ED61F0 C60424 E1 mov byte ptr ss:[esp],0xE1
00ED61F4 886424 10 mov byte ptr ss:[esp+0x10],ah
00ED61F8 8BB6 D0977900 mov esi,dword ptr ds:[esi+0x7997D0]
00ED61FE CC int3 // 加壳程序为:call WindSale.00D649F7
00ED61FF f4 hlt //加壳程序:pushad
00ED6200 e7 e8 out 0xe8,eax
00ED6202 - FF60 90 jmp dword ptr ds:[eax-0x70]
手动修改后,跟踪发现
左图为脱壳后程序,右图为脱壳前程序
jmp 018A6C8C
发现这4处没有修复上:
0218139E - E9 115972FF jmp de_winds.018A6CB4
021813A3 90 nop
021813A4 - E9 5B5972FF jmp de_winds.018A6D04
021813A9 90 nop
021813AA - E9 355972FF jmp de_winds.018A6CE4
021813AF 90 nop
021813B0 - E9 D75872FF jmp de_winds.018A6C8C
使用UIF修复的时候发现,目标模板,跳过修复。
在这里 原程序加载DLL文件成功,而脱后的程序加载不成功。
这种情况应该怎么修复?
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!