三、重定位表修复 + PE修正 UPX破坏了重定位表。在第一步我们已经得到重定位表的地址了,用WinHex打开dumped_.dll,复制7318-74EA之间的16进制数值,另存为fly.bin运行 看雪 老师写的辅助修复UPX加壳DLL重定位表的工具UPXAngela.exe,打开fly.bin,很快的提示pediy.bin文件创建成功! 从dumped_.dll找块空白代码,如自UPX1段的6000处开始。够用就行,pediy.bin中的数据长度为3B0。用WinHex把pediy.bin中的16进制数值全部复制、写入到dumped_.dll的6000处。用LordPE修正dumped_.dll的重定位表RVA=00006000、大小=000003B0,保存之。 再用LordPE修正dumped_.dll的基址为003B0000,OK,脱壳完成啦。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法