好友
阅读权限10
听众
最后登录1970-1-1
|
先下载
http://dl.sf520.com/login.exe
使用PEID 0.94查壳
什么都没找到 *
OD载入,程序停在
00B4B480 > 68 FD516E3E push 3E6E51FD
使用“内存镜像法”
Alt+M,
找到 Memory map, 条目 30
地址=00558000
大小=00316000 (3235840.)
属主=login 00400000
区段=.rsrc
包含=资源
类型=Imag 01001002
访问=R
初始访问=RWE
F2 断点,Shift+F9
00B48100 AA stos byte ptr es:[edi] ;停在此处
00B48101 E8 9D5A2400 call login.00D8DBA3
00B48106 14 9E adc al,9E
再次Alt+M
Memory map, 条目 23
地址=00401000
大小=0012D000 (1232896.)
属主=login 00400000
区段=CODE
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
F2 断点 再Shift+F9
程序停在
0052D4CC 55 db 55 ; CHAR 'U'
0052D4CD 8B db 8B
0052D4CE EC db EC
右键 分析 --- 分析代码(Ctrl+A)
出现
0052D4CC . 55 push ebp
0052D4CD . 8BEC mov ebp,esp
0052D4CF . 83C4 EC add esp,-14
0052D4D2 . 53 push ebx
此处应该是程序OEP 12D4CC
DUMP保存为Unpack.exe
PEID查壳
Borland Delphi 6.0 - 7.0 [Overlay]
但是无法运行!
换一种方法 用LOADPE 先 修正镜像大小 ---- 完整转存 ---- 保存为“Unpack1.exe”
运行正常!不过PEID查壳显示为
什么都没找到 *
但是的确是已经脱壳了的!
事后,我还打算使用ImportREC修复一下。在OEP输入12D4CC ,点“自动查找IAT”
找到为
OEP:0012D4CC
RVA:0013A018
SIZE:00000004
可是点“获取输入表”。并没有函数!
请教以下高手,这个是那里出了问题? |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2009-2-1 20:36
发表于 2009-2-3 20:45
发表于 2009-2-3 17:54
|
发表于 2009-2-1 21:06
