怎么手动查找IAT?
本帖最后由 错过了一个亿 于 2020-2-17 14:47 编辑最近看了ximo早起脱壳教程
遇到FSG就不行了
LordPE弄完之后自动查找IAT
然后转储
但是运行不了
跟着我就按照ximo的去修复
这是程序链接:https://www.lanzouj.com/i9ek8ja
--------下面的有可能有错--------
call是0040A893|.FF15 10524200 call dword ptr ds: ;kernel32.GetVersion
OEP是40A86D减去基址400000就是A86D
起始地址:425000
减去基址就是25000
不知道哪里是结束地址
我认为是425514
减去基址就是25514
0042550076A2AFF9ole32.OleFlushClipboard
0042550476A2AE4Aole32.OleIsCurrentClipboard
00425508769E327Fole32.OleUninitialize
0042550C7FFFFFFF
0042551074CA096Aoledlg.OleUIBusyA
004255147FFFFFFF
00425518004257D8qqspirit.004257D8
0042551C00425520qqspirit.00425520
0042552000000111
0042552400000000所以RVA是25000
Size是514
后来找到了
但不能运行
请大神帮一下 本帖最后由 无闻无问 于 2020-2-16 18:41 编辑
结束5514,size一定要全,可以估计大点,然后剪切无效的… 本帖最后由 错过了一个亿 于 2020-2-16 19:12 编辑
无闻无问 发表于 2020-2-16 18:36
结束5514,size一定要全,可以估计大点,然后剪切无效的…
把Size改成5FF也是全部无效 继续
右侧,点 按钮“无效函数”;
左边函数列表,右键,剪切指针;
修复转储
页:
[1]