[请教]All Video Converte脱加修复

Nisy

脱ESP即可

不用找到OEP的时候就奇怪了 用OD直接脱显示Borland Delphi 6.0 - 7.0

而用OD一 脱壳插件来脱 就和LordPE相同了 脱完了还是显示ASPack 2.12 -> Alexey Solodovnikov

修复那弄不了了 请教一下~

看网络上的破文 也没看懂 如下：

1、Ctrl + B  61 75 直接到达OEP
抓镜像，修复即可

2、修复IAT
　　请出ImportREC, 填入OEP的004AE6C4值，点IATAutoSearch, 提示发现了IAT地址，再点GetImport,有近2000个无效的API，我晕。启动LordPE, 比较脱壳前后文件的导入表，发现脱壳后的文件少了一个libmcl-4.3.0.dll,API名称MclRGB。找到地址是10DE17,用UltraEdit打开脱壳后的文件，在10DE17处补上“4D 63 6C 52 47 42”，然后再用LordPE的PE编辑器打开脱壳后的文件，在导入表中添加导入函数，dll=libmcl-4.3.0  API=MclRGB 保存后，运行程序一切正常。

3、可以用stripper2.07自动脱壳
在修复时，可选pick dll可能省去用ue编辑。



这三种方法 都没看懂~~~


把地址给忘了:lol:

http://www.zealotsoft.net/

[ 本帖最后由 Nisy 于 2006-6-10 11:36 编辑 ]

冷血书生

地址呢

wzwgp

修复IAT
　　请出ImportREC, 填入OEP的004AE6C4值，点IATAutoSearch, 提示发现了IAT地址，再点GetImport,有近2000个无效的API，我晕。启动LordPE, 比较脱壳前后文件的导入表，发现脱壳后的文件少了一个libmcl-4.3.0.dll,API名称MclRGB。找到地址是10DE17,用UltraEdit打开脱壳后的文件，在10DE17处补上“4D 63 6C 52 47 42”，然后再用LordPE的PE编辑器打开脱壳后的文件，在导入表中添加导入函数，dll=libmcl-4.3.0  API=MclRGB 保存后，运行程序一切正常。


原程序已删，随手找了个程序图示一下，不知说清楚没有？


LordPE比教导入表
图1

ue补

图2
图3
图4
图5


添加导入函数

图6

[ 本帖最后由 wzwgp 于 2006-6-9 11:29 编辑 ]

野猫III

不懂。。。

这个修复方法对猫来说是新的。

wzwgp

这是笨办法，一个二个，这样补还行．
数量多的话还是要用ImportREC等工具修复．

hrbx

附件是2.5版脱壳后的程序

Nisy

原帖由 hrbx 于 2006-6-9 11:56 发表
附件是2.5版脱壳后的程序

感谢兄弟指教 我刚才用LordPE 对比的时候 发现N多 需要修复 好象还差了很多/:? 不知道兄弟用的是哪种方法~

wzwgp

找到　rva
确定　size

用ImportREC修复试试看．

hrbx

楼上的wzwgp 兄已经讲得很清楚了,^_^
就是直接用LordPE对比导入表的方法，
我用的是2.5版本的原英文版程序，找到的地址是：001153B5.

hrbx

或者直接用ImportREC修复
RVA：C11B4
SIZE：7CC