原始加壳文件

上传的附件：

• hello,world_no.rar （336.76kb，2次下载）

我也是学习中，在原文件中
00401B81    E8 7EE4AD01          call 01EE0004
00401B86    90                   nop
00401B87    66:837C24 3E 00      cmp word ptr ss:[esp+3E],0

窃以为应该把00401B81的东西找回来。
在dump_文件中
00401B81    E8 7EE4DB01          call 021C0004
00401B86    90                   nop
00401B87    66:837C24 3E 00      cmp word ptr ss:[esp+3E],0

我尝试过把ASPR分配的虚拟地址的空间内容复制到原程序，但是这样只能治表不能治本，如果程序很大的话，很多函数会被替换，不知道有没有什么好的解决办法

写了个脚本修复，运行完会停在ope，dump完再修正IAT就可以啦～

var Table
var con
var Temp1
var Temp2
var Temp3
var Temp4
bphwcall
sti
sti
sti
sti
bprm 00401000,2
esto
esto
esto
esto
esto
esto
rtr
bpmc
find eip ,#8BE8036B2403ABE0000000#
add $RESULT ,0b
mov Temp1,$RESULT
bphws $RESULT,"x"
find eip ,#8D4C24188BD08B433C#
bphws $RESULT,"x"
mov Temp2 ,$RESULT
find eip ,#FF0C2403B3E4000000833C2400#
add $RESULT,13
mov Temp3,$RESULT
bphws $RESULT,"x"
alloc 2000
mov Table ,$RESULT
esto
savetab:
mov con,
mov Temp4 ,con
mul Temp4,4
add Temp4 ,Table
add Temp4 ,100
cmp eip ,Temp1
jne Myaddress
mov [Temp4],ebp
inc con
mov ,con
jmp end
Myaddress:
cmp eip ,Temp2
jne end
mov [Temp4],eax
inc con
mov ,con
end:
cmp eip ,Temp3
je done
eoe savetab
eob savetab
run
done:
bphwcall
coe
cob
mov Temp4 ,Table
add Temp4 ,100
Recover:
mov Temp1 ,[Temp4]
cmp Temp1 ,0
je done2
add Temp4 ,4
mov [Temp1],15ff
add Temp1 ,2
mov Temp2 ,[Temp4]
add Temp4 ,4
find 00405000,Temp2
cmp $RESULT ,0
je addapi
mov [Temp1],$RESULT
jmp Recove
addapi:
find 00405000,#0000#
mov [$RESULT],Temp2
mov [Temp1],$RESULT
jmp Recover
done2:
gmi 00401000,CODESIZE
bprm 00401000 ,$RESULT
esto
bpmc
ret

magicknife 雪    币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值： 发帖 40 回帖 94 粉丝 0 关注 私信	magicknife 6 楼 经过N次跟踪，我终于脱了他了哈哈 2006-9-11 05:43 0
	游客 登录 | 注册 方可回帖 回帖 表情 雪币赚取及消费 高级回复