【已解决】初学小白：请教如何修复第三个程序的IAT

北堂临风 · 发表于 2015-7-11 17:21

本帖最后由北堂临风于 2015-7-11 17:54 编辑

第三个程序脱壳后打不开，显示这样

然后用 ImpREC 修复 , 获取输入表后显示这样

第3个程序的OEP ： DDAC

RVA : 2000

看了“小生大大”的教程，
在这里填入 OEP 和 RVA后，获取输入表，点击 “无效函数” 按钮，然后右键剪切掉，就可以抓取文件修复了。

但是抓取文件后仍然打不开，请问是哪里出问题了？感谢

1094483658 · 发表于 2015-7-11 17:30

本帖最后由 1094483658 于 2015-7-11 17:35 编辑

OEP填写：1DDAC
IAT填写：32000
大小填写：554
RAV=VA-基址

xyzxf · 发表于 2015-7-11 17:51

很容易啊RAV=VA-基址自己手动看下大小自动那个不对然后覆盖10000删除无效的保存就可以了

灰色 · 发表于 2015-7-11 17:25

看ximo的教程

北堂临风 · 发表于 2015-7-11 17:37

1094483658 发表于 2015-7-11 17:30
OEP填写：1DDAC
IAT填写：32000
大小填写：554

原来只是减去基址啊，其他的全部留下。。一针见血，感激不尽

为什么大小需要填： 554 呢？会更准确么？
很多教程里都填写1000

吾爱T阿杰 · 发表于 2015-7-11 17:45

1000只是懒人的方法，，，ximo教程有详细过程，另外作业好像不要修复的吧，应该是你用的系统不对，H大说过，用xp系统

知足zz · 发表于 2015-7-11 17:46

楼上说得详细我就不bb了，之前做到这里卡住然后自行解决

北堂临风 · 发表于 2015-7-11 17:51

吾爱T阿杰发表于 2015-7-11 17:45
1000只是懒人的方法，，，ximo教程有详细过程，另外作业好像不要修复的吧，应该是你用的系统不对，H大说过 ...

我用的是论坛的虚拟机 XP系统。。。
这个第三个程序脱壳后确实打不开，，现在已经修复好了。。在虚拟机里可以运行

遇到一个问题，就是一旦拖回到WIN7 64位系统，一个也打不开了。是不是在脱壳时某选项没设置？

1094483658 · 发表于 2015-7-11 18:15

北堂临风发表于 2015-7-11 17:37
原来只是减去基址啊，其他的全部留下。。一针见血，感激不尽

为什么大小需要填： 554 呢？ ...

大小是通过，手动查找IAT确定的，那样会更准确，如果不想找直接填1000也是可以的

945pengming · 发表于 2015-7-11 18:47

路过，表示看不懂，谢谢分享。。。

帐号		自动登录	找回密码
密码			注册[Register]

[第一课] 【已解决】初学小白：请教如何修复第三个程序的IAT