能力值:
(RANK:570 )
|
-
-
2 楼
必须跑到入口再DUMP
跑到入口前,壳没有完全释放程序的内容,什么也DUMP不到
入口之后DUMP则把程序的初始化值也保存下来了
例如程序中有下面语句
if (!p)
{
p = malloc(100);
}
当P是全局变量时,DUMP会把P的值也保存,如果程序作者没初始化,那么根本就不会申请内存给指针P,后面对指针P的访问会引起异常
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
谢谢指教!
我按你说的用ollyice跑到入口,也就是下一步,0100739D处。然后再用LordPE转存,但是结果还是不能运行。
另外,我用LordPE自带的比较器对比了一下两次dump出来的文件,结果完全一致。
请再帮我看看,我是纯粹的菜鸟,也许是哪个不起眼的地方搞错了。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
另外,我想问问。
脱完壳的程序是不是不应该存在UPX0和UPX1这两个区段了?
|
能力值:
(RANK:1130 )
|
-
-
5 楼
你没修复导入表
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
呵呵,对的。修复了就好了。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
首先 你OEP没有找正确,可以试一下ESP定律,很爽的应该一下就能脱掉.我也是笨鸟,但我脱UXP壳不下10回了,你就用ESP定律吧,
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
脱壳后一般都要修复下的
|
|
|