大家好,我是小雄,今天教大家 手脱Yoda's Crypter以及SFX法
教程中所使用到的工具:
1.OllyDBG
2.PEiD v0.94
3.Import Fix 1.6
这些工具在网上都找的到的、大家可以自己去找找。
脱壳前:yoda's cryptor 1.2
第二步:OD载入,忽略所有异常。
OD载入后,打开内存镜像 找到区段=.rsrc F2下断,F9运行,继续打开内存镜像,找到 区段=.text
F2下断,F9运行,OK,到了OEP了。
004010CC 55 PUSH EBP
004010CD 8BEC MOV EBP,ESP
脱壳修复,修复的时候很多是无效的,
在无效的文件中右键,反汇编/16进制查看,
001431A2 jmp 77DAEBE7 // = advapi32.dll/01FB/RegSetValueExA
我们可以看到,这里是以advapi32.dll 开头的,接下来我们来修复,双击无效的输入表,
在这个模块里找到advapi32.dll ,然后找RegSetValueExA,这个就是了。
这个表就被我们修复了,无效变成有效的了哦。ok。
其实这里并不用这么麻烦,可以直接在IM中 将显示无效的输入表 全部一起修复。。 |
