注意ImportREC的选项设置

http://bbs2.pediy.com/    搜索
32Lite 0.03a 脱壳――QEDITOR.EXE

fly说道:
00410D50     55                  push ebp //在这儿用LordPE纠正ImageSize后完全DUMP这个进程
00410D51     8BEC                mov ebp,esp
00410D53     53                  push ebx
00410D54     56                  push esi
00410D55     57                  push edi
00410D56     BB 00604100         mov ebx,QEDITOR.00416000
00410D5B     66:2E:F705 D2134100>test word ptr cs:[4113D2],4
00410D65     0F85 DB000000       jnz QEDITOR.00410E46
00410D6B     6A 00               push 0
00410D6D     FF15 54844100       call dword ptr ds:[418454] ; OLE32.CoInitialize

运行ImportREC，选择这个进程。把OEP改为00010D50，点IT AutoSearch，点“Get Import”，设置ImportREC的“新建输入表”选项只保留“重建原始FT”，FixDump，可以跨平台运行！

我的ImportREC已经是那样设置了.

可是还是不行啊.会不会是dump时有错?麻烦再看看.

imr中的OEP填错了，是00010D50，不是000010D5

我这里是一时不小心输错了。我试过输00010D50是不行的。

这是因为你肯定是用了OD插件的第一种方式脱壳对不对.如果用第一种方式就会出这种问题.你用LORDPE直接DUMP修复和用OD的第二种方式脱修复就不会出错了.

用LordPE来dump
再修复输入表

to tane：什么是第一种方式、第二种方式？第二种方式怎么选？

或提供LoadPE下载。我是新手。谢谢。。

PE工具

http://www.pediy.com/tools/PEtools.htm

找了很久都找不到，原来本站就有，刚刚看到了。谢谢！！