首页 > 逆向调试 > 使用ImportREC修复脱壳文件导入表

使用ImportREC修复脱壳文件导入表

在逆向调试中往往会遇到脱壳后文件无法正常运行的现象,这时候就需要尝试修复导入表。需要用到的几个工具:Ollydbg、ImportREC,当然,如果OD没有dump功能,还得选一个工具,可以为LoadPE等。导入表的修复时脱壳中必须要掌握的一项基本技能,下面是本人的一些学习记录:(仅供参考,如有错误,请指正)

首先是脱壳,OD载入,可以用ESP定律(如果可行的话)来脱壳(不懂?看这里《ESP定律脱壳》一文),找到程序的OEP。找到OEP之后,在OD的CPU窗口中右键,选择“在OllyDump脱壳调试进程”,这时候有一个入口点地址的修正值,记下来。然后点击脱壳保存文件,请暂时不要关闭OD,也不要动他。

获取程序的真实OEP
接下来打开ImportREC,附加进程选择被调试的进程,然后填入修正后的OEP,然后点击“IAT AutoSearch”,接下来“Get Imports”,然后会找到一些函数,把无效的函数删除掉,然后Fix Dump,目标程序为OD脱壳后的程序,保存就OK了,修正的文件为脱壳后的文件后面加一个下划线。
使用ImportREC修复导入表


觉得文章还不错?点击此处对作者进行打赏!


本文地址: 程序人生 >> 使用ImportREC修复脱壳文件导入表
作者:代码疯子(Wins0n) 本站内容如无声明均属原创,转载请保留作者信息与原文链接,谢谢!


更多



分类: 逆向调试 标签: , , ,
  1. 2011年3月26日11:00 | #1

    嗯,学习了~

    [回复]

  2. 2011年3月27日14:25 | #2