一个文件脱壳后再打开提示异常错误,
用OD看一下就是下面这个样子,像是个半截程序,
00494F28 > $ 55 push ebp
00494F29 . 8BEC mov ebp, esp
00494F2B . 83C4 F0 add esp, -10
00494F2E . B8 904C4900 mov eax, 00494C90
00494F33 . E8 181BF7FF call 00406A50
00494F38 . A1 DC634900 mov eax, dword ptr [4963DC]
00494F3D . 8B00 mov eax, dword ptr [eax]
00494F3F . E8 8829FCFF call 004578CC
00494F44 . 8B0D A4644900 mov ecx, dword ptr [4964A4] ;
00494F4A . A1 DC634900 mov eax, dword ptr [4963DC]
00494F4F . 8B00 mov eax, dword ptr [eax]
00494F51 . 8B15 6C394900 mov edx, dword ptr [49396C] ; w.004939B8
00494F57 . E8 8829FCFF call 004578E4
00494F5C . A1 DC634900 mov eax, dword ptr [4963DC]
00494F61 . 8B00 mov eax, dword ptr [eax]
00494F63 . E8 FC29FCFF call 00457964
00494F68 . E8 4FF9F6FF call 004048BC
00494F6D . 8D40 00 lea eax, dword ptr [eax]
00494F70 . 0000 add byte ptr [eax], al
00494F72 . 0000 add byte ptr [eax], al
00494F74 . 0000 add byte ptr [eax], al
00494F76 . 0000 add byte ptr [eax], al
00494F78 . 0000 add byte ptr [eax], al
00494F7A . 0000 add byte ptr [eax], al
00494F7C . 0000 add byte ptr [eax], al
00494F7E . 0000 add byte ptr [eax], al
00494F80 . 0000 add byte ptr [eax], al
00494F82 . 0000 add byte ptr [eax], al
00494F84 . 0000 add byte ptr [eax], al
00494F86 . 0000 add byte ptr [eax], al
00494F88 . 0000 add byte ptr [eax], al
00494F8A . 0000 add byte ptr [eax], al
00494F8C . 0000 add byte ptr [eax], al
00494F8E . 0000 add byte ptr [eax], al
00494F90 . 0000 add byte ptr [eax], al
00494F92 . 0000 add byte ptr [eax], al
00494F94 . 0000 add byte ptr [eax], al
00494F96 . 0000 add byte ptr [eax], al
00494F98 . 0000 add byte ptr [eax], al
00494F9A . 0000 add byte ptr [eax], al
import rec 修复一下,样子还是一样,
问一下,
有没有比较可靠的iat修复方法!!
[课程]Linux pwn 探索篇!