大家好,又见面了,我是你们的朋友全栈君。
很多壳是没法用Ollydump弄好的,所以需要用其他的工具
这里的工具是:PETools和Import REConstructor
先按照UPX脱壳的方法,找到OEP
现在已经到达了OEP
用PETools来实现程序的DUMP
找到对应的程序,完整转存,保存好久可以运行了~~~
但是,当我们换个版本的PETools~
dump成功后,运行程序
程序竟然报错了~~~
(论工具的重要性)
这个时候就需要用到Import REC了
首先在程序里找到IAT的位置
先点击自动查找IAT,获取输入表
然后手动检查下:OEP应该是00001000(相对偏移RVA)
3180是IAT的RVA
然后一直往下看,查看IAT的大小
所以终点是3290(UPX是最简单的壳,IAT是存在同一个地方的,很多高级壳IAT可能有错误,也可能存在不同的地方,需要一段一段处理)
所以SIZE = 0x3290 – 0x3180 = 0x110
然后看一眼输入表函数信息,有没有无效的
点击转储到文件(刚才的DUMP文件)
这时候还是报错,我们需要再使用一次PETools
选择Rebuild PE,选中刚才的DUMP文件
再执行程序,发现可以正常运行了~~~
附上实验的程序和工具~
OD可以从52pojie或者看雪下载咯~
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/159792.html原文链接:https://javaforall.net
