我按照cyto老大的帖子一步步做的.
http://bbs.pediy.com/forumdisplay.php?s=&forumid=8&daysprune=365&sortorder=desc&sortfield=lastpost&perpage=28&pagenumber=2
1,载入OD,启用VolX老大的脚本Aspr2.XX_IATfixer_v1.02.osc,挺在伪OEP处.
2,在OEP所在段后面的8个段下访问断点.按F9,记下断下的几个位置.此时程序运行并没有出现问题.
3,重复第一步.用LordPE完整转存程序,把第2步中得到段也一并用区域转存功能存盘.
4,用LordPE的PE编辑妻打开dumped.exe,把存下来的段一一附加上去修改VOffset.然后重建.
5,用ImportREC来修复IAT,IAT并无错误,得到dumped_.exe
6,用OD加载dumped_.exe,查找特征码8B 7B 14,改为
00DC8A5A 698B 73308B7B 14A1F037 imul ecx,dword ptr ds:[ebx+7B8B3073],37F0A11>
00DC8A64 DD00 fld qword ptr ds:[eax]
00DC8A66 3E:8B4424 34 mov eax,dword ptr ds:[esp+34]
00DC8A6B 90 nop
00DC8A6C 83E8 05 sub eax,5
00DC8A6F 90 nop
00DC8A70 90 nop
00DC8A71 2B43 18 sub eax,dword ptr ds:[ebx+18]
按f9运行,出现写入异常
00DA200A 8BF2 mov esi,edx
00DA200C 8BC6 mov eax,esi
00DA200E 03C3 add eax,ebx
00DA2010 8320 FE and dword ptr ds:[eax],FFFFFFFE
此时eax=FEEEFEFE,并没有运行到特征码部分.
总结一下,就是原来的程序运行脚本后,一切正常,可是dump出来后会出现写入异常.
请高手指点..
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课