查壳,是ASPack2.12
首先看到pushad
第一反应是esp定律。
在esp处设置硬件执行断点,然后F9执行到下图位置
继续向下走,发现有个间隔很大的返回地址多半就是OEP
执行到OEP进行脱壳
设置OEP的RVA为0x1000
转储IAT,对文件IAT进行修复。
剪切掉无效指针
转储到Dump文件中执行,查看执行效果,发现可以正常运行。
02-23
查壳,是ASPack2.12
首先看到pushad
第一反应是esp定律。
在esp处设置硬件执行断点,然后F9执行到下图位置
继续向下走,发现有个间隔很大的返回地址多半就是OEP
执行到OEP进行脱壳
设置OEP的RVA为0x1000
转储IAT,对文件IAT进行修复。
剪切掉无效指针
转储到Dump文件中执行,查看执行效果,发现可以正常运行。