能力值:
( LV4,RANK:50 )
2 楼
这个肯定已经被FLY FUCK过了吧。
能力值:
( LV4,RANK:50 )
3 楼
壳的IAT处理有点奇怪~!
能力值:
( LV9,RANK:3410 )
4 楼
最初由 采臣・宁 发布 这个肯定已经被FLY FUCK过了吧。 还没时间分析 :o
采臣可以试试
能力值:
( LV2,RANK:10 )
5 楼
最初由 yeyu0808 发布 壳的IAT处理有点奇怪~! 用importREC来修复好象是有点问题,
直接用LOADPEdump下来,改一下引入表地址就可以了
/////////////////////////////////////////////////////
不过里面哪个非法指令,OD竟走不过去。真有意思
能力值:
( LV4,RANK:50 )
6 楼
最初由 d1y2j3 发布 用importREC来修复好象是有点问题, 直接用LOADPEdump下来,改一下引入表地址就可以了 ........
修改引入表地址就可以了?
试试~!
能力值:
( LV9,RANK:210 )
7 楼
OEP:5CB00
RVA:73DB7
SIZE:5D4
Is this ok ?
能力值:
( LV4,RANK:50 )
8 楼
你不觉得每个DLL之间都是相连的吗?
能力值:
(RANK:650 )
9 楼
最初由 yeyu0808 发布 修改引入表地址就可以了? 试试~!
我也试了下,oep2次esp就找到
用loadpe dump的时候只选rebuild中间的那个勾
再把oep和import table 改的,我的是60000
能力值:
( LV2,RANK:10 )
10 楼
有点难度,搞不定
能力值:
( LV2,RANK:10 )
11 楼
done...
after u on oep ,dump using lordpe....open imprec and goto option -> tick "Create New IAT" -> enter ep and fix the dump that's it.....
附件:dumped_.rar
能力值:
( LV9,RANK:3410 )
12 楼
good job
能力值:
( LV9,RANK:2130 )
13 楼
:D
yes good,出来的时候二点给我看过了
能力值:
( LV9,RANK:1210 )
14 楼
最初由 stephenteh 发布 done... after u on oep ,dump using lordpe....open imprec and goto option -> tick "Create New IAT" -> enter ep and fix the dump that's it.....附件:dumped_.rar
学习! 可以用来对付乱序IAT吗?
能力值:
( LV2,RANK:10 )
15 楼
yes u can use that method to fix armadilllo import elimination....but the iat is not that nice....:)
能力值:
( LV4,RANK:50 )
16 楼
为什么我得到的IAT是连续的?也就是DLL之间是相连的?
1 00073E3F kernel32.dll 019F GetStdHandle
1 00073E43 user32.dll 0128 GetKeyboardType
能力值:
( LV2,RANK:10 )
17 楼
最初由 yeyu0808 发布 为什么我得到的IAT是连续的?也就是DLL之间是相连的? 1 00073E3F kernel32.dll 019F GetStdHandle 1 00073E43 user32.dll 0128 GetKeyboardType
it's ok just get all the iat and go to option check "Create New IAT" and fix the dump...
能力值:
( LV4,RANK:50 )
18 楼
谢谢stephenteh指点~!