常用方法
esp定律
先步過
然後esp地址跟隨
然後選擇硬件斷點->word
然後運行,根據運行情況進行判斷
找到oep
映像起點:
查找內存
查看堆棧調用
最後進行將鏡像dump下來 用loadPE 矯正映像大小 然後完全轉存
修復輸入表 用importREC
手動查到IAT地址
尋找API函數 跟隨找到起始地址 計算大小
修改區段名 用loadPE
PE頭修改程序 處理方法
設置事件 系統斷點 然後查看mem 在PE頭設置斷點
alt+f9 運行到用戶代碼 然後單步找到oep 最後進行脫殼
附加數據的處理
查找到當前程序最後一個區段的結束位置
用WinHex 打開程序 跳轉地址複製
然後將複製的數據複製到你修復的程序最後