学习ximo大佬视频fsg壳修复问题
在 ximo 视频里根据教程进行脱壳时,找到正确的 oep 后需要对文件 oep 进行修改,但是使用 loadPe 转存完成之后,使用 imp Rec 修改完 oep 之后,显示的输入表函数都是无效的文件地址:https://vnknow.lanzouq.com/iPbXZ1vcc4ub fsg我记得iat是分散的,应该是获取一个很大范围,然后选择无效的删除掉,剩下的应该就是正常的? Hmily 发表于 2024-4-16 18:00
fsg我记得iat是分散的,应该是获取一个很大范围,然后选择无效的删除掉,剩下的应该就是正常的?
我按照视频操作找到oep之后,也是跟着视频去修改那个iat的值,但是我在虚拟机里找到的地址范围那里显示的都是qqspirlt.的东西,从这一步就和视频不一样了 13780310735 发表于 2024-4-16 18:09
我按照视频操作找到oep之后,也是跟着视频去修改那个iat的值,但是我在虚拟机里找到的地址范围那里显示的 ...
从od左下角堆栈窗口,你看IAT开始的地址是:
0042500077DA6C17advapi32.RegCloseKey
所以你获取iat的起始位置就不对了? Hmily 发表于 2024-4-16 18:16
从od左下角堆栈窗口,你看IAT开始的地址是:
0042500077DA6C17advapi32.RegCloseKey
刚刚又重新跟着视频做了一遍,发现程序走到oep那里和程序没走到那里dump的文件不一样,现在可以了
页:
[1]