-
-
求助!手动脱卫片快车的壳后不能正常使用!(已经解决)
-
发表于:
2007-4-29 15:38
6886
-
求助!手动脱卫片快车的壳后不能正常使用!(已经解决)
手动脱壳后不能使用,修复后还是不能使用.
请高手分析一下我的过程,看看哪里出问题了.
程序名称:wpkc.exe
文件大小:337k
PEiD对未脱壳前的检测结果
入口点: 000EAF90 EP区段:UPX1
文件偏移:00052390 首字节:60,BE,00,90
连接程序版本:5.0 子系统:Win32 GUI
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
我用Ollydbg 1.10动态调试,过程如下:
提示可能是压缩代码,选择不继续分析.
地址 Hex转存 反汇编
004EAF90 60 PUSHAD 从这里开始
.
.
.
004EB10F 61 POPAD 走到了这个地方
004EB110 -E9 0764F1FF JMP wpkc.0040151c 紧接着是大跳
0040151C ˇEB 10 JMP SHORT wpkc.0040152E 跳到这Dump
dump后文件大小952k
PEiD显示是Borland C++
运行后,然后运行程序就出现“wpkc.exe 遇到问题需要关闭。
我们对此引起的不便表示抱歉。”的错误窗口。
然后用ImportREC进行修复
在ImportREC中选择好程序
OEP改为0151C ,点"IAT自动搜索",提示可能发现原地址
点"获得输入信息",日志显示有效,点"显示无效",日志里没有无效条目
点"修理抓取文件",选择刚脱壳的文件,提示新的块增加成功....
然后运行修复后的文件,还是出现"wpkc.exe 遇到问题需要关闭。
我们对此引起的不便表示抱歉。"的错误提示.
请问这个怎么办啊
不止这一个程序啊,好多程序的壳都出现这个问题啊.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课