无数次的SHIFT+F9之后,在寄存器窗口可以看到指针以及能够正常显示:
文章插图
文章插图
然后此时F8单步,找magic jump……看小生大大的视屏是通过分析疑似CRC跳转得到magic jump的位置:
文章插图
文章插图
这里记下来magic jump的地址是0x0046973B,然后清空udd文件,删除硬件断点,再次重新运行程序,然后在idata下内存断点停住,然后Ctrl+G找到magic jump位置处,修改跳转:
文章插图
文章插图
然后在code段下内存断点:
文章插图
文章插图
然后SHIFT+F9执行,停下来就到了OEP的位置:
文章插图
文章插图
这时候再dump程序,IAT表已经被修复,可以直接获得脱壳版程序:
文章插图
文章插图
这里尝试使用了另外两种脱壳方法,并且通过预先找OEP的方式,修复了CRC校验后,直接dump到了IAT被修复了的程序 。
3.3 PEncrypt脱壳笔记
文章插图
文章插图
先把程序扔到OllyIce里面,然后程序停在这里,看起来蛮怪的:
文章插图
文章插图
好吧,重新加载程序,尝试使用最后一次异常法,不忽略所有异常,然后使用异常计数器插件,程序停在最后一次异常处:
文章插图
文章插图
如果此时F8单步下去,程序会触发异常处理,然后又到不了OEP了 。这时需要看一下堆栈数据情况:
文章插图
文章插图
这时需要在0040CCD7处F2下断点,然后SHIFT+F9执行,可以跳过这个坑:
文章插图
文章插图
然后接下来就是F8+F4的操作,一路直到OEP:
文章插图
文章插图
用LoadPE脱壳,然后用ImportREC修复后,虽然没有无效指针,但是还是不能运行:
文章插图
文章插图
这时候用LoadPE的重建PE功能:
文章插图
文章插图
推荐阅读
- chrome如何进行安全设置 chrome安全性设置
- 电脑不能上网9个解决方法恢复 电脑wlan已关闭 需要手动但是打不开怎么办
- offer进行中是什么意思 公司发offer的意思
- lol怎样转区 LOL英雄联盟怎么进行转区
- 长安cs55plus手动挡是爱信变速箱吗 长安cs55plus手动变速箱是爱信的吗
- 圆舞曲波尔卡进行曲 波尔卡和圆舞曲的区别
- 如何对汽车进行保养 如何对汽车进行保养和维修
- 妄想山海 种植 妄想山海怎么进行种植
- 如何进行微信群群发消息提醒 如何进行微信群群发消息
- 怎么在哈喽单车上进行学生验证 哈喽单车学生认证在哪