能力值:
( LV2,RANK:10 )
|
-
-
2 楼
那个脱完后要改入口点。。。不改是运行不了的
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
OD自动将入口点改成1000了啊?我生成后用pe工具查看入口点也是1000,对的啊!
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
你的方法不对。
oep+iat用importREC即可。
也就是:
脱upx:
ollydbg走到入口点。
运行importREC打开相应进程,填入oep,点autosearch,点getimports,然后点fix即可。
随便找2篇教程看就行了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
我是按照这个步骤来的啊,这个教程里面的这个实例你能不能试试。我实在不知道自己再哪出错了,感觉每一步都做对了。
一下是我脱壳步骤:
用OD打开Notepad-upx.exe文件
到达这里:
0040DC70 > 60 PUSHAD
=>0040DC71 BE AEB04000 MOV ESI,Notepad-.0040B0AE
根据堆栈平衡原理,到达这里:
=>0040DDBF - E9 3C32FFFF JMP Notepad-.00401000
0040DDC4 0000 ADD BYTE PTR DS:[EAX],AL
0040DDC6 0000 ADD BYTE PTR DS:[EAX],AL
0040DDC8 0000 ADD BYTE PTR DS:[EAX],AL
F8到达入口:
=>00401000 55 PUSH EBP
00401001 8BEC MOV EBP,ESP
00401003 83EC 44 SUB ESP,44
dump内存生成aa.exe目标文件
运行ImportREC,在下拉列表框中选择Notepad-upx.exe进程
ImportREC中OEP显示为DC70,改为1000;
点击IAT AUTOSEARCH自动获取RVA和SIZE
点击点击“Get Import”按钮,成功找到各个DLL信息
单击"Fix Dump"按钮,选择aa.exe,生成的目标文件aa_.exe仍然不可用!
我的哪一步做的有问题吗?
值得注意的是我自己用UPX工具加个壳,用OD直接DUMP出来就对了!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
晕,我不知道如何上传附件,我先查查看
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
这个是我脱壳后的程序,我似乎该做的都做了!
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
好了,在kanxue大大的指导下终于弄出来了,原来是OD的 ollyDump有缺陷,用LoraPE去dump就好了。谢谢vrowang123指导!
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
原来是ollydbg的 问题啊 ,我也明白啦!!
|
|
|