前言
下载
使用夸克网盘打开链接,给出的是绿化版免安装
Import REC
链接:https://pan.quark.cn/s/552e4c1ea7d6
提取码:qEMM
下载之后解压得到
里面有使用更新说明
使用修复import table 演示
现在有一个程序,放入PEiD进行查壳
[PEiD] 加密与解密-PEiD查壳工具的下载及详细安装过程(附有下载文件)_peid 下载 csdn-CSDN博客
看到程序带壳PE Diminisher V0.1 -> Teraphy *
接下来使用PEiD的插件进行脱壳
得到入口点为00401000,点击脱壳
点击是,使用ImpREC重建输入表
然后看到程序所在的位置出现一个.unpaked.exe文件,就是脱壳后的文件
双击未脱壳的文件,出现以下界面
应该是输入表的问题,需要重建输入表,就要使用到上面下载的软件Import REC
双击运行未脱壳的文件,出现以下界面,不要关闭,保持运行
打开刚才安装的软件,在下拉框中选择未脱壳的软件,并输入OEP
OEP定位,可以将脱壳后的程序拖进PEiD,看到入口点的偏移地址为00001000,此时是该程序真实的入口地址,即为OEP
输入OEP后,点击自动搜索,显示提示框,表示OEP正确
点击获取输入表
看到有一个未无效函数
点击显示无效函数,右键点击该部分函数,选择跟踪级别1
再次点击显示无效函数,发现没有变化,还是无效函数
重新右键点击无效的函数,选择删除指针数据,点击显示无效函数,已经没有无效函数了
点击修复转存文件,选择已经脱壳后的文件,在记录中出现successfully则修复成功
在文件中会看到三个文件,第一个未脱壳,第二个已脱壳未修复,第三个已脱壳并完成修复
双击运行第三个文件,程序正常运行,修复成功
