大家好,又见面了,我是你们的朋友全栈君。
很多壳是没法用Ollydump弄好的,所以需要用其他的工具
这里的工具是:PETools和Import REConstructor
先按照UPX脱壳的方法,找到OEP
现在已经到达了OEP
用PETools来实现程序的DUMP
找到对应的程序,完整转存,保存好久可以运行了~~~
但是,当我们换个版本的PETools~
dump成功后,运行程序
程序竟然报错了~~~
(论工具的重要性)
这个时候就需要用到Import REC了
首先在程序里找到IAT的位置
先点击自动查找IAT,获取输入表
然后手动检查下:OEP应该是00001000(相对偏移RVA)
3180是IAT的RVA
然后一直往下看,查看IAT的大小
所以终点是3290(UPX是最简单的壳,IAT是存在同一个地方的,很多高级壳IAT可能有错误,也可能存在不同的地方,需要一段一段处理)
所以SIZE = 0x3290 – 0x3180 = 0x110
然后看一眼输入表函数信息,有没有无效的
点击转储到文件(刚才的DUMP文件)
这时候还是报错,我们需要再使用一次PETools
选择Rebuild PE,选中刚才的DUMP文件
再执行程序,发现可以正常运行了~~~
附上实验的程序和工具~
OD可以从52pojie或者看雪下载咯~
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/159792.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...
