标 题: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> IAT修复问题
作 者: graymice
时 间: 2009-8-16
****************************************
过程:
1.OD载入
0048E5F0 > $ 60 pushad
0048E5F1 . BE 00E04200 mov esi, DNF贝贝.0042E000
0048E5F6 . 8DBE 0030FDFF lea edi, dword ptr ds:[esi+FFFD3000]
0048E5FC . 57 push edi
************************
2.利用ESP定律
按F8 0048E5F0 > $ 60 pushad
堆栈如下:
0012FFA4 7C930738 ntdll.7C930738
0012FFA8 FFFFFFFF
0012FFAC 0012FFF0
下断点 hr 12ffa4 按F9
0048E74D .- E9 B883F9FF jmp 1.00426B0A
到达OEP
00426B0A 6A 70 push 70
00426B0C 68 90854200 push DNF贝贝.00428590
00426B11 E8 02030000 call DNF贝贝.00426E18
转存为1.exe
3.ImportREC修复
kernel32.dll有效:是
user32.dll 有效:是
?FThunk:00028538函数数:7有效:否
展开后为
FThunk: 00028538 NbFunc: 00000007
0 00028538 ? 0000 00428588
0 0002853C ? 0000 00428584
0 00028540 ? 0000 00428580
0 00028544 ? 0000 0042857C
0 00028548 ? 0000 00428578
0 0002854C ? 0000 0042856C
0 00028550 ? 0000 00428560
小弟初学脱壳,请大家给指点指点:好心的可以和我QQ联系:10256765
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)