标 题: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> IAT修复问题
作 者: graymice
时 间: 2009-8-16
****************************************
过程：
1.OD载入
0048E5F0 > $  60                pushad
0048E5F1   .  BE 00E04200       mov     esi, DNF贝贝.0042E000
0048E5F6   .  8DBE 0030FDFF     lea     edi, dword ptr ds:[esi+FFFD3000]
0048E5FC   .  57                push    edi
************************
2.利用ESP定律
按F8   0048E5F0 > $  60                pushad
堆栈如下：
0012FFA4    7C930738  ntdll.7C930738
0012FFA8    FFFFFFFF
0012FFAC    0012FFF0
下断点 hr 12ffa4 按F9
0048E74D   .- E9 B883F9FF       jmp     1.00426B0A
到达OEP
00426B0A    6A 70               push    70
00426B0C    68 90854200         push    DNF贝贝.00428590
00426B11    E8 02030000         call    DNF贝贝.00426E18

转存为1.exe
3.ImportREC修复
kernel32.dll有效：是
user32.dll  有效：是

？FThunk：00028538函数数：7有效：否
展开后为
FThunk: 00028538        NbFunc: 00000007
0        00028538        ?        0000        00428588
0        0002853C        ?        0000        00428584
0        00028540        ?        0000        00428580
0        00028544        ?        0000        0042857C
0        00028548        ?        0000        00428578
0        0002854C        ?        0000        0042856C
0        00028550        ?        0000        00428560
小弟初学脱壳，请大家给指点指点：好心的可以和我QQ联系：10256765

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课