-
-
[求助]第8章 压缩与脱壳2、UPX V1.01的壳--DUMP出来的文件不可执行?
-
发表于:
2009-4-7 16:45
4629
-
[求助]第8章 压缩与脱壳2、UPX V1.01的壳--DUMP出来的文件不可执行?
引用:
{
dump取内存中己脱壳的文件
0137:40ddf jmp 00401000
现在这一行,键入以下命令:
a eip (然后按回车)
jmp eip (然后按回车)
按下F5
这样将改变0137:40ddf行的代码. 你会注意到在键入"jmp eip"并按下回车后,40ddf的指令现在是一个jmp.这将有效地使程序"暂停"(有点类似TRW2000的suspend命令). 按下F5使你回到window。
运行ProcDump,在Task的列表中的第一个list上点击鼠标右键,然后选择"Refresh list". 在Task列表中找到notepad.exe,在它的上面点击鼠标右键. 然后,选中"Dump (Full)",给脱壳的程序起名存盘. 再在notepad.exe上点击鼠标右键,然后选中"Kill Task".
}
1.
DUMP出来的文件不可执行;
2:
->0137:40ddf jmp 00401000
a eip (然后按回车)
jmp eip (然后按回车)
按F5不会退回到WINDOWS,要按CTL+D
一定要这样修改了才DUMP吗?不这样修改不能DUMP吗?我试过,DUMP完都不能运行。
DUMP后的文件修正了入口地址。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
