importrec,importrec修复
使用Ollydbg Ring3外壳级动态编译工具核心作用深入分析程序代码importrec,定位入口点和退出点,理解程序流程操作方式通过动态编译分析,找到并脱除外壳利用PEid工具核心作用分析PE文件,importrec了解程序的资源和结构操作方式在脱壳过程中,PEid有助于资源定位和理解,是脱壳的重要辅助借助ImportREC洛德普等。
文件分析工具如Fi, GetTyp, peid, pescan等可以帮助侦测壳的类型重建Import Table工具如ImportREC, ReVirgin可以帮助修复导入表对于ASProtect壳,CasprASPr V11V12有效,Rad只对ASPr V11有效等工具可以使用Aspack是最常用的加壳工具,脱壳时可以用UNASPACK或PEDUMP32ASProtect加壳。
1文件分析工具侦测壳的类型Fi,GetTyp,peid,pescan,2OEP入口查找工具SoftICE,TRW,ollydbg,loader,peid3dump工具IceDump,TRW,PEditor,ProcDump32,LordPE4PE文件编辑工具PEditor,ProcDump32,LordPE5重建Import Table工具ImportREC,ReVirgin6ASProtect脱壳专用工具Casp。
重建Import Table工具用于重建被加壳破坏的导入表,常见的工具有ImportRECReVirgin等 专用脱壳工具针对特定加壳工具开发的专用脱壳工具,如UNASPACKCaspr和RadUPX本身等这些工具通常能够高效地脱去对应的加壳其他常用工具 Procdump32一个强大的通用脱壳软件,能够解开绝大部分的加密外壳,并。
回答献给象importrec我一样的菜鸟,学脱壳不长时间但是小有点心得,愿意与大家分享,最看到了有人被 nSpack V2x LiuXingPing* 这个壳弄的很惨,所以写了这个东西出来 与大家分享, 也算是对我成长的一个见证吧高手可以不用看了,没什么含量的 东东 这里首先要说下ESP 定律了先感谢一下FLY 前辈门。
FreeRes + Resscope即Restools系列 + ResHacker,这一组其实没有脱壳,但是可以把壳打破,释放出里面的资源文件,从而进行逆向分析有时需要FixCRC和ImportREC的帮助目的为技术学习手工脱壳软件OllyDBG或者OllyICE配合PEiD含ImportREC版或者看雪学院的“加壳与脱壳版块”各类自动专用脱壳脚本。
破壳是指操作人员用工具把要用的软件给脱壳的意思在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,就把这样的程序称为“壳”。
5 ImportRECReVirgin重建Import Table工具6 CasprASPr V11V12有效Rad只对ASPr V11有效loaderpeidASProtect脱壳专用工具加壳软件的种类繁多,下面列举了一些常见的加壳方式及相应的脱壳方法1 Aspack使用UNASPACK或Caspr进行脱壳2 ASPack+aspack使用SOFTICE。
其次,关于Import Table Elimination,壳体通常会将输入表重定位并进行乱序处理过去,解决这个问题的方法有两种一是编程重新排序输入表,二是利用ImportRec的“创建新IAT”功能构建新的表这要求对输入表处理有深入理解Armadillo还可能将部分程序代码移动到壳体申请的内存区域,这可能导致普通dump工具丢失。
LordPE是一款功能强大的pe文件分析修改脱壳软件配合手动脱壳工具OllydbgImportREC 等,是学习调试手动脱壳必备的工具现在有不少软件在某些功能上仿照LordPE,包括现在流行的PE Explorer。
脱壳作者 manbug 使用工具 OllyDBG ,LordPE,ImportREC,PEiD 脱壳平台 WinXP SP2 软件名称 Bigman#39s Crackme6看雪2007精华里面的软件大小 7K 加壳方式 ASPack 2x without poly Alexey Solodovnikov Overlay虽然现在的脱壳机很多,我是初学者,为了煅炼一下自己的。
08变种机器狗一注入explorerexe进程的分析 通过OD工具分析explorerexe,发现入口点在GetModuleHandleA函数调用NULL参数时,位于004016ED设置内存写入断点后,通过DUMP和ImportREC修复,虽成功脱壳,但资源部分仍有问题提取pcihddsys的过程涉及检查IDT处理程序地址和资源文件的10001000,驱动仅响应IRP_MJ。
在弹出菜单中选dumpfixerRS=VS RO=VO,提示#39DONE#39,这时可以关闭peditor了第六步,运行ImportREC12beta2,在Attach to an Active Process下拉框中选中ssplineexe,然后在左下方OEP中输入7e910就是EPimage base=47e910,按IAT AutoSearch出现对话框Found Something!=FSAD。
现在我们再打开ImportRECOEP处填写FE118 004FE11800自动查找IAT获取输入表显示无效的剪切指针修复转存文件选中你用LORDPE保存的EXE文件 OK 完成 参考资料 本回答由提问者推荐 已赞过 已踩过lt 你对这个回答的评价是? 评论 收起。
常用脱壳工具 1文件分析工具侦测壳的类型Fi,GetTyp,peid,pescan, 2OEP入口查找工具SoftICE,TRW,ollydbg,loader,peid 3dump工具IceDump,TRW,PEditor,ProcDump32,LordPE 4PE文件编辑工具PEditor,ProcDump32,LordPE 5重建Import Table工具ImportREC,ReVirgin 6ASProtect脱壳专用工具CasprAS。
DUMP之后不关闭OD,让样本处于挂起状态,使用ImportREC修复DUMP出来的文件的导入表修复之后DUMP出来的文件用OD加载出错,使用PEDITOR的rebuilder功能重建PE之后即可用OD加载,说明脱壳基本成功,但资源部分仍有问题,无法用Reshacker查看pcihddsys的提取OD加载样本explorerexe,设置有新模块加载时中断,F9运行当ADVAPI32DLL。
Alt+M打开内存镜像,在00按F2设置内存访问断点,F9运行跳过试用期窗口,中断在 00,确认是OEP处,注意OEP为00 Dump及修复IAT1使用OllyDump插件去掉quotRebuild Importquot选项后,直接在OEP处dump保存文件2使用ImportREC修复文件,填写OEP,获取导入表数据,IAT会存在一个无效函数,是。
