【已解决】初学小白:请教如何修复第三个程序的IAT
本帖最后由 北堂临风 于 2015-7-11 17:54 编辑第三个程序脱壳后打不开,显示这样
然后用ImpREC 修复 , 获取输入表后显示这样
第3个程序的OEP : DDAC
RVA : 2000
看了“小生大大”的教程,
在这里填入 OEP 和 RVA后,获取输入表,点击 “无效函数” 按钮,然后右键剪切掉,就可以抓取文件修复了。
但是抓取文件后仍然打不开,请问是哪里出问题了? 感谢
本帖最后由 1094483658 于 2015-7-11 17:35 编辑
OEP填写:1DDAC
IAT填写:32000
大小填写:554
RAV=VA-基址
很容易啊RAV=VA-基址自己手动看下大小自动那个不对然后覆盖10000删除无效的保存就可以了 看ximo的教程 1094483658 发表于 2015-7-11 17:30
OEP填写:1DDAC
IAT填写:32000
大小填写:554
原来只是减去基址啊,其他的全部留下。。一针见血,感激不尽{:1_906:}
为什么大小需要填 :554 呢? 会更准确么?
很多教程里都填写1000 1000只是懒人的方法,,,ximo教程有详细过程,另外作业好像不要修复的吧,应该是你用的系统不对,H大说过,用xp系统 楼上说得详细我就不bb了,之前做到这里卡住然后自行解决 吾爱T阿杰 发表于 2015-7-11 17:45
1000只是懒人的方法,,,ximo教程有详细过程,另外作业好像不要修复的吧,应该是你用的系统不对,H大说过 ...
我用的是论坛的虚拟机XP系统。。。
这个第三个程序脱壳后确实打不开,,现在已经修复好了。。在虚拟机里可以运行
遇到一个问题,就是一旦拖回到WIN7 64位系统,一个也打不开了。是不是在脱壳时某选项没设置 ? 北堂临风 发表于 2015-7-11 17:37
原来只是减去基址啊,其他的全部留下。。一针见血,感激不尽
为什么大小需要填 :554 呢? ...
大小是通过,手动查找IAT确定的,那样会更准确,如果不想找直接填1000也是可以的 路过,表示看不懂,谢谢分享。。。
页:
[1]
2