-
-
脱壳以后出现的问题,请大家看看
-
发表于:
2006-9-1 10:57
3376
-
过程就不多说了
找到OEP
00401AA0 E5 db E5
00401AA1 47 db 47 ; CHAR 'G'
00401AA2 02 db 02
00401AA3 . 14 FF adc al, 0FF
00401AA5 . 25 10114000 and eax, 401110
00401AAA .- FF25 C0104000 jmp ds:[<&msvbvm60.EVENT_SINK_AddRef>; msvbvm60.EVENT_SINK_AddRef
00401AB0 .- FF25 F8104000 jmp ds:[<&msvbvm60.EVENT_SINK_Releas>; msvbvm60.EVENT_SINK_Release
00401AB6 > $- FF25 94114000 jmp ds:[<&msvbvm60.ThunRTMain>] ; msvbvm60.ThunRTMain
00401ABC E9 db E9
00401ABD 92 db 92
00401ABE E8 db E8
loadpe先dump full,然后用ImportREC_fix ,填上OEP 1AB6 ,找到输入表,其中有一个 invalidate
Trace level1 以后发现是DllFunctionCall,全部ok。
fix dump。用peid查看 ,还是“什么都没有找到 *”
运行弹出对话框
title:程序错误 :
dump_.exe 产生了错误,会被Windows关闭,您需要重新启动程序. 正在创建错误日志
用od 再跟dump_.exe.没有发现什么东西错误:(
1 我dump的地方不对?
2 我还需要修复脱完的?
望大侠指点迷津
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法