ASPack 2.12 -> Alexey Solodovnikov [Overlay]
OEP非常好找,脱壳后不运行,提示错误
追加数据仍然错误
用源文件和脱壳文件对比跟踪,发现到
006089C6 FF15 38D56A00 call dword ptr ds:[6AD538] ;;跳了8层 过不去了
原因是ds:[6AD538] =0000000000;
强行修改该地址数据为 7c801d77 数值,后通过;
步骤如下:
源文件此处的数据是:
ds:[006AD538]=7C801D77 (kernel32.7C801D77), 入口地址
在006089c6下断点:bp 006089c6
断下来后,查找:dd 006ad538
将006ad538的值改成:7c801d77,通过运行;
显示:006AD53C 7C80ADB0 入口地址
奇怪的问题:寻找006ad538的写入点后,存盘的文件均不成功;
改成call 7c801d77 这个部分通过;
========================================================
接下来又出错了