学习ximo大佬视频fsg壳修复问题

13780310735

在 ximo 视频里根据教程进行脱壳时，找到正确的 oep 后需要对文件 oep 进行修改，但是使用 loadPe 转存完成之后，使用 imp Rec 修改完 oep 之后，显示的输入表函数都是无效的
文件地址：https://vnknow.lanzouq.com/iPbXZ1vcc4ub

Hmily

fsg我记得iat是分散的，应该是获取一个很大范围，然后选择无效的删除掉，剩下的应该就是正常的？

13780310735

Hmily 发表于 2024-4-16 18:00
fsg我记得iat是分散的，应该是获取一个很大范围，然后选择无效的删除掉，剩下的应该就是正常的？

我按照视频操作找到oep之后，也是跟着视频去修改那个iat的值，但是我在虚拟机里找到的地址范围那里显示的都是qqspirlt.的东西，从这一步就和视频不一样了

Hmily

13780310735 发表于 2024-4-16 18:09
我按照视频操作找到oep之后，也是跟着视频去修改那个iat的值，但是我在虚拟机里找到的地址范围那里显示的 ...

从od左下角堆栈窗口，你看IAT开始的地址是：

00425000  77DA6C17  advapi32.RegCloseKey

所以你获取iat的起始位置就不对了？

13780310735

Hmily 发表于 2024-4-16 18:16
从od左下角堆栈窗口，你看IAT开始的地址是：

00425000  77DA6C17  advapi32.RegCloseKey

刚刚又重新跟着视频做了一遍，发现程序走到oep那里和程序没走到那里dump的文件不一样，现在可以了