-
-
[求助]第8章 压缩与脱壳2、UPX V1.01的壳--DUMP出来的文件不可执行?
-
发表于:
2009-4-7 16:45
4630
-
[求助]第8章 压缩与脱壳2、UPX V1.01的壳--DUMP出来的文件不可执行?
引用:
{
dump取内存中己脱壳的文件
0137:40ddf jmp 00401000
现在这一行,键入以下命令:
a eip (然后按回车)
jmp eip (然后按回车)
按下F5
这样将改变0137:40ddf行的代码. 你会注意到在键入"jmp eip"并按下回车后,40ddf的指令现在是一个jmp.这将有效地使程序"暂停"(有点类似TRW2000的suspend命令). 按下F5使你回到window。
运行ProcDump,在Task的列表中的第一个list上点击鼠标右键,然后选择"Refresh list". 在Task列表中找到notepad.exe,在它的上面点击鼠标右键. 然后,选中"Dump (Full)",给脱壳的程序起名存盘. 再在notepad.exe上点击鼠标右键,然后选中"Kill Task".
}
1.
DUMP出来的文件不可执行;
2:
->0137:40ddf jmp 00401000
a eip (然后按回车)
jmp eip (然后按回车)
按F5不会退回到WINDOWS,要按CTL+D
一定要这样修改了才DUMP吗?不这样修改不能DUMP吗?我试过,DUMP完都不能运行。
DUMP后的文件修正了入口地址。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
