(6)telock修复与跳过IAT加密
来源:互联网 发布:电脑怎么选看淘宝直播 编辑:程序博客网 时间:2024/05/21 22:26
在压缩壳实例演示中除了FSG2.0,还有一个TELOCK0.98的,那TELOCK属于加密壳了,当然是非常简单的加密壳了,今天我们就看看这个壳在修复方面会遇到什么问题。
TELOCK脱壳用最后一次异常法。
一: 修复过程中卡机问题
TELOCK不用获取RAV,也没必要。获取输入表后发现有大量无效函数,有无效函数当然就要追踪了。先用追踪级别一,发现不起作用。那就追踪级别三上了,一般追踪级别二就不用。不恩能够一下子全选就追踪,这样直接卡死。三四个一次就好吧,是个耐心活儿啊。注意,追踪的过程中会发现有些是无法追踪成功的。那么在最后剪切指针就OK了。
Btw:如果程序修复等级3会死机(无论你一次选几个),那么我们就重新开一个进程,也就是直接打开程序,IR载入新的进程(注意看ID),一点一点修复,
Tips:如果新的进程在修复中自动或其他的原因意外关闭了,不用怕,我们使用IR自带的保存树文件的功能保存,然后再开启进程,载入进程,载入树文件,继续修复。
发现问题:起始在用IR进行修复的时候根本不用开OD,可以直接打开程序。
这样不就怕出现卡死的情况了么。但用LordPe还是的开着OD在入口点的。
二: 避开TELOCK的IAT加密
1,OD载入程序,查看内存,在数据段和资源段之间的那个段上,F2,然后Shift+F9。
然后Ctrl+B(在反汇编窗口),输入 0A F6 89 54,这样就来到了magic跳的附近。
2,下面有个je 该为jmp即可,注:不用nop填充。
3,下面就是用内存镜像法去脱了。
4,查看内存,在资源段F2,Shift+F9,再次查看内存,在代码段F2,Shift+F9这样就 来到了oep,直接用OD脱掉就OK了,不用修复了。
- (6)telock修复与跳过IAT加密
- tElock壳 脱壳后修复失败问题
- 脱壳后的IAT修复
- 导入表 与 IAT
- 手工修复PE文件的IAT
- 还是搞不定该死的iat加密..
- (5) 定位IAT
- IAT
- IAT
- 菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
- 2012.01.06_lofullen_safengine(or shielden) 2.x IAT 修复脚本
- 脱Aspack手动查找IAT完成脱壳修复
- 为什么某些壳脱壳后需要修复IAT?
- 重定位表,IAT修复引起的大脑风暴
- 手动脱FSG 2.0壳并修复IAT
- 在OD中手工修复IAT重定向
- forgot/hexer变形telock
- 0.ring0-遍历IAT(特例NTOS)
- Struts2 官方教程之Form Validation(十二)
- (4)脱壳必备知识要点及方法
- H.264相关二
- (5) 定位IAT
- hdu 4335多校4数论
- (6)telock修复与跳过IAT加密
- (7)附加数据的处理
- (8)去除自校验
- Fibonacci数
- (9)区段优化减肥
- 程序员面试宝典之数据结构基础----⑥双链表的建立,插入和删除
- 企业邮箱那点事儿(三):考虑自建发件邮件服务器吧!
- MyEclipse中使用Junit--Test Case
- QT:QString、QByteArray和char *的转换