OEP没有call，如何修复IAT

xi0405

1.问题

在学习ximo老师的手脱FSG壳的教程的时候，重点是学习修复IAT，但是到达OEP后没有call，全都是db *** ，第一张是ximo老师教程视频的OEP ，第二张是我的OEP

  

2.测试脱壳后能否运行

脱壳成功，无法运行

      

3.学习的修复IAT方法

需要通过call转到数据窗口中找到长型->地址的值都为00 00 00 00的地址，减去基址得到的就是RVA ,这是自动查找的

   

4.选择调试的系统

在windows11中，无法打开，在OD中打开也是终止程序

  

所以在吾爱破解教学的XP机中操作，查壳

5.具体脱壳步骤

在这里，使用三中方法

1.单步

2.ESP

3.特殊的ESP

1.单步

进入OD，向下，单步，向上，设断点，运行，具体单步可以去脱壳后，无法运行，到达跳转，需要经验可以判断出跳转是跳向OEP，无条件跳转，OEP存放在EBX中（我没有经验，所以是按照的教学进行的）

   

到达OEP

   

使用LoadPE ，dump，ImportREC进行转储，查壳，运行（修复IAT就是在ImportREC右侧的IAT中，没有call，我不知道怎么去计算出RVA）

   

脱壳成功，无法运行

   

2.ESP

OD打开，是通过堆栈平衡原理，所以需要单步到push的下一行到右侧寄存器中进行操作 ，运行结束后记得删除硬件断点，不然会有影响，调试->硬件断点

     

停在这里，再使用单步

   

到达OEP

3.特殊的ESP

OD打开，单步到popad下一行，查看堆栈区，按图示操作，硬件执行后，运行

     

到达OEP

   

Jx29

od右键分析-从模块中删除分析

xi0405

Jx29 发表于 2025-3-22 18:07
od右键分析-从模块中删除分析

call出来了，感谢大佬

pojiestudy

od右键分析-从模块中删除分析.
学习学习