esp脱壳之后修复出现的问题,对高手来说秒杀!
软件查壳aspack 2.12的壳,这个用ESP脱壳应该是很简单的事,但是脱掉之后运行崩溃,是因为没有修复的原因。
但是在修复时,却出现如下这个情况,请问这是怎么回事,如何解决。
问题到底出在哪儿了呢? 上传一下软件地址:
http://pan.baidu.com/s/1i3EMYwd
教程地址。去下载看看。
https://www.52hb.com/thread-11489-1-1.html 压缩壳直接用!【通用脱壳机】WSUnpacker秒杀系类把.! 童真丶 发表于 2015-6-23 14:54
压缩壳直接用!【通用脱壳机】WSUnpacker秒杀系类把.!
这个稍后再试,我想问下,我这里修复哪里不对啊? 只用脱壳机,自己还是不会。所以想麻烦各位高手,帮忙看下,问题出在哪里了。 能用脱壳机为什么不用脱壳机? 想不明白
童真丶 发表于 2015-6-23 15:53
能用脱壳机为什么不用脱壳机? 想不明白
太依赖工具了,不好,因为原理什么的也不明白,人家稍微改一下,工具就不管用了,毕竟工具是死的。所以得掌握学会才是最好的。 手动查找iat,直接获取输入表、不用自动查找 试试oep填写1000,2000
自己手动查找iat,
二进制搜索ff15或者ff25 找到函数后右键跟随数据窗口,找iat开头,减去400000就是RAV
尾部减去开头是大小 sure 发表于 2015-6-23 17:22
试试oep填写1000,2000
自己手动查找iat,
高手啊,但是看不太懂,可否做个教程? 手动查找iat不懂吗?很容易的,你到oep后按照我说的就可以了,教程要晚上了。
你在反汇编窗口二进制搜索ff15或者ff25 搜索到的call或者jmp 你就右键跟随内存到数据窗口,然后你在数据窗口会看见输入表函数,你往上面找,拉到顶部,看地址是多少,比如是007E4215、你就减去00400000是等于3E4215 这个就是RVA,填写到修复工具上,大小就填写1000,然后点击获取输入表,把无效的剪贴掉,就可以了
页:
[1]
2