能力值:
( LV9,RANK:150 )
|
-
-
2 楼
可以利用修改MAGIC跳的方法,这样就不用修复IAT了,指针全部有效,具体方法如下:
1、OD载入程序
2、Alt+M,打开内存镜像,在包含为空在段下断点,然后Shift+F9运行,
3、程序中断后,按Ctrl+B,搜索:0A F6 89 54
一般如:
/ 0040D346 0AF6 or dh, dh
| 0040D348 895424 1C mov dword ptr [esp+1C], edx
| 0040D34C 61 popad
| 0040D34D C685 D7CC4000 0>mov byte ptr [ebp+40CCD7], 0
\ 0040D354 74 24 je short 0040D37A============MAG跳
//将这修改为:jmp short 0040D37A
4、Alt+M打开内存镜像,在代码段下断,按Shift+F9运行,就可以直达OEP了,
此时脱壳修复,IAT全为有效!
这是我以前脱的记录,参考一下,呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
嗯,可以了,谢谢大哥!
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
0040BA05 55 push ebp ; This is the OEP! Found By: fly
0040BA06 8BEC mov ebp,esp
0040BA08 6A FF push -1
0040BA0A 68 308D4200 push 428D30
0040BA0F 68 ACEB4000 push 40EBAC
0040BA14 64:A1 00000000 mov eax,dword ptr fs:[0]
0040BA1A 50 push eax
0040BA1B 64:8925 00000000 mov dword ptr fs:[0],esp
0040BA22 83EC 58 sub esp,58
0040BA25 53 push ebx
0040BA26 56 push esi
0040BA27 57 push edi
0040BA28 8965 E8 mov dword ptr ss:[ebp-18],esp
0040BA2B FF15 70624200 call dword ptr ds:[426270] ; kernel32.GetVersion
运行tELock V0.8X-V0.9X.osc,到达OEP
ImportREC获得的输入表函数都是有效的
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
 不对啊,大哥,我用的就是你的那个脚本!刚才又试了一下,还是125个无效指针!
为什么会这样??操作系统,还是OD???
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
OEP RVA填写0000BA05
然后点击 IAT AutoSearch
|
|
|
|
