吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1455|回复: 6
收起左侧

[求助] ImpREC修复时候卡死

[复制链接]
guoqiang5277 发表于 2020-8-31 16:38
本帖最后由 guoqiang5277 于 2020-8-31 16:40 编辑

再看某草的中级教程第2课的时候,dump出来后,通过ImpRec修复的时候卡死。

附上操作步骤。

1、PEID查壳
UltraProtect 1.x -> RISCO Software Inc.2
2、找OEP。
2.1 OD载入,打开调试选项,取消勾选“内存异常”、“指定异常”,
2.2 运行,程序会停在00415719处,查看堆栈,找到堆栈处的“SE处理程序”,右键选择“在数据窗口中跟随”,下内存断点。
2.3 Shift + F9连续3次。删除内存断点
[Asm] 纯文本查看 复制代码
00415759    33C2            xor eax,edx
0041575B    81F2 C6BA3784   xor edx,0x8437BAC6
00415761    89048E          mov dword ptr ds:[esi+ecx*4],eax
00415764    49              dec ecx
00415765  ^ EB E1           jmp short UltraPro.00415748
00415765  ^\EB E1           jmp short UltraPro.00415748
00415767    61              popad
00415768    61              popad
00415769    C3              retn
0041576A    0000            add byte ptr ds:[eax],al

2.4 F4运行到00415769处,代码区段下断点,F9运行,既可到OEP
[Asm] 纯文本查看 复制代码
004010D2    56              push esi
004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]             ; UltraPro.0040D1BA
004010D9    8BF0            mov esi,eax
004010DB    8A00            mov al,byte ptr ds:[eax]
004010DD    3C 22           cmp al,0x22
004010DF    75 1B           jnz short UltraPro.004010FC
004010E1    56              push esi
004010E2    FF15 F4644000   call dword ptr ds:[0x4064F4]             ; UltraPro.0040D4C6
004010E8    8BF0            mov esi,eax


2.5 004010D2处前面6个字节用“55 8B EC 83 EC 44”填充,并在004010CC处新建EIP。
[Asm] 纯文本查看 复制代码
004010CC    55              push ebp
004010CD    8BEC            mov ebp,esp
004010CF    83EC 44         sub esp,0x44
004010D2    56              push esi
004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]             ; UltraPro.0040D1BA
004010D9    8BF0            mov esi,eax
004010DB    8A00            mov al,byte ptr ds:[eax]
004010DD    3C 22           cmp al,0x22



2.6 用OD的dump插件或者Lord PE dump。

3.ImpREC修复。
3.1 ImpREC打开进程,OEP输入10CC,点击自动查找IAT后,点击获取输入表。
3.2 点击无效函数,上面有98个。
3.3 选择其中前面4个有效函数,级别1修复失败,级别2修复卡死,级别3修复卡死。
3.4 更换了1.6版本的ImpREC和其他几个版本,都是卡死。

使用的逆向环境是论坛的虚拟机

补上链接,是05年左右的一个程序,下载:https://wwa.lanzouj.com/iipZmg8dycd密码:agz4













发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

wu0o0pj 发表于 2020-9-1 11:41
OD运行起来再修复,但比较慢;
或者不用OD,直接运行程序,然后REC选择该程序,再修复;
zouhuangfa 发表于 2020-9-1 14:19
 楼主| guoqiang5277 发表于 2020-9-2 16:46
 楼主| guoqiang5277 发表于 2020-9-2 17:05
wu0o0pj 发表于 2020-9-1 11:41
OD运行起来再修复,但比较慢;
或者不用OD,直接运行程序,然后REC选择该程序,再修复;

不用OD,直接运行程序,使用ImpREC修复的时候,选择级别3,NG。提示
初始化故障
无法初始化此跟踪!:-(
初始化故障
无法初始化此跟踪!:-(
初始化故障
无法初始化此跟踪!:-(

使用插件ACProtect #1 ,93个无效函数,修复成功92个,但是有一个不能修复,手动补上MessageBoxExA,即可
wu0o0pj 发表于 2020-9-3 14:26
guoqiang5277 发表于 2020-9-2 17:05
不用OD,直接运行程序,使用ImpREC修复的时候,选择级别3,NG。提示
使用插件ACProtect #1 ,93个无效函 ...

级别3,可以用 1.6 修复,1.7会初始化故障
小菜鸟一枚 发表于 2020-9-3 19:32
找到OEP,在OD里面直接右键dump程序,方式1脱壳,然后就可以正常运行了啊???
image.png
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-25 01:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表