首页
社区
课程
招聘
[求助]MP 脱壳后的基地址改变的修复问题
发表于: 2018-6-20 10:25 3777

[求助]MP 脱壳后的基地址改变的修复问题

2018-6-20 10:25
3777
程序是vmp壳,是用ximo大神的脱壳插件脱完壳,程序不能正常运行,在od中跟踪脱完壳的程序和加壳程序,发现

00ED61F0    C60424 E1       mov byte ptr ss:[esp],0xE1
00ED61F4    886424 10       mov byte ptr ss:[esp+0x10],ah
00ED61F8    8BB6 D0977900   mov esi,dword ptr ds:[esi+0x7997D0]
00ED61FE    CC              int3    // 加壳程序为:call WindSale.00D649F7
00ED61FF    f4              hlt       //加壳程序:pushad
00ED6200    e7 e8           out 0xe8,eax
00ED6202  - FF60 90         jmp dword ptr ds:[eax-0x70]

手动修改后,跟踪发现

左图为脱壳后程序,右图为脱壳前程序
jmp 018A6C8C

发现这4处没有修复上:

0218139E  - E9 115972FF     jmp de_winds.018A6CB4
021813A3    90              nop
021813A4  - E9 5B5972FF     jmp de_winds.018A6D04
021813A9    90              nop
021813AA  - E9 355972FF     jmp de_winds.018A6CE4
021813AF    90              nop
021813B0  - E9 D75872FF     jmp de_winds.018A6C8C

使用UIF修复的时候发现,目标模板,跳过修复。





在这里 原程序加载DLL文件成功,而脱后的程序加载不成功。

这种情况应该怎么修复?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 2166
活跃值: (3226)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
2
有修复重定向表吗?
2018-6-20 14:25
0
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
xiaohang 有修复重定向表吗?
没有修复定向表?该如何修复,请版主指点
2018-6-20 14:56
0
雪    币: 9165
活跃值: (1635)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
4
我也期待大神出现,学习学习下……
2018-6-21 08:07
0
游客
登录 | 注册 方可回帖
返回
//