[请教]All Video Converte脱加修复
脱ESP即可不用找到OEP的时候就奇怪了 用OD直接脱显示Borland Delphi 6.0 - 7.0
而用OD一 脱壳插件来脱 就和LordPE相同了 脱完了还是显示ASPack 2.12 -> Alexey Solodovnikov
修复那弄不了了 请教一下~
看网络上的破文 也没看懂 如下:
1、Ctrl + B61 75 直接到达OEP
抓镜像,修复即可
2、修复IAT
请出ImportREC, 填入OEP的004AE6C4值,点IATAutoSearch, 提示发现了IAT地址,再点GetImport,有近2000个无效的API,我晕。启动LordPE, 比较脱壳前后文件的导入表,发现脱壳后的文件少了一个libmcl-4.3.0.dll,API名称MclRGB。找到地址是10DE17,用UltraEdit打开脱壳后的文件,在10DE17处补上“4D 63 6C 52 47 42”,然后再用LordPE的PE编辑器打开脱壳后的文件,在导入表中添加导入函数,dll=libmcl-4.3.0API=MclRGB 保存后,运行程序一切正常。
3、可以用stripper2.07自动脱壳
在修复时,可选pick dll可能省去用ue编辑。
这三种方法 都没看懂~~~
把地址给忘了:lol:
http://www.zealotsoft.net/
[ 本帖最后由 Nisy 于 2006-6-10 11:36 编辑 ] 地址呢 修复IAT
请出ImportREC, 填入OEP的004AE6C4值,点IATAutoSearch, 提示发现了IAT地址,再点GetImport,有近2000个无效的API,我晕。启动LordPE, 比较脱壳前后文件的导入表,发现脱壳后的文件少了一个libmcl-4.3.0.dll,API名称MclRGB。找到地址是10DE17,用UltraEdit打开脱壳后的文件,在10DE17处补上“4D 63 6C 52 47 42”,然后再用LordPE的PE编辑器打开脱壳后的文件,在导入表中添加导入函数,dll=libmcl-4.3.0API=MclRGB 保存后,运行程序一切正常。
原程序已删,随手找了个程序图示一下,不知说清楚没有?
LordPE比教导入表
图1
ue补
图2
图3
图4
图5
添加导入函数
图6
[ 本帖最后由 wzwgp 于 2006-6-9 11:29 编辑 ] 不懂。。。
这个修复方法对猫来说是新的。 这是笨办法,一个二个,这样补还行.
数量多的话还是要用ImportREC等工具修复. 附件是2.5版脱壳后的程序 原帖由 hrbx 于 2006-6-9 11:56 发表
附件是2.5版脱壳后的程序
感谢兄弟指教 我刚才用LordPE 对比的时候 发现N多 需要修复 好象还差了很多/:? 不知道兄弟用的是哪种方法~ 找到 rva
确定 size
用ImportREC修复试试看. 楼上的wzwgp 兄已经讲得很清楚了,^_^
就是直接用LordPE对比导入表的方法,
我用的是2.5版本的原英文版程序,找到的地址是:001153B5. 或者直接用ImportREC修复
RVA:C11B4
SIZE:7CC
页:
[1]
2