LoadPE
这款工具还是比较有名的,在刚学PE结构之前,就对这个工具有所了解,主要是简单的介绍一下配合OD和importREC的使用,在之后深入了解。
首先我们先对找到OEP的工具加载。
在这个列表框中找到我们所在的进程
纠正一下镜像文件的大小,然后点击完全脱壳,会生成一个dump的文件。
这款工具比较强大的其实是他的PE编辑器,我们之后再去讨论。
import REC
这款工具是用来修复IAT的一些信息,由于这款工具可以自动找到我们的函数入口点之类的信息,所一比较方便,测试的软件加密的比较简单,所以不需要回OD进行查找,之后有机会和LoadPE一款演示。
言归正传,我们选择我们的进程。
需要填写我哦们OEP的一个相对RAV,然后点击自动搜索IAT,获取输入表,再点击显示无效的函数,后对无效的函数进行cut掉就好了。
如果出现这个状况,我们一般通过OD进行确认一遍。
我们记住他返回给我们的RVA和size
然后在OD中查看他的内容,dd就可以了,还可以看大一些提示信息。
import REC只是给我们以个大体的范围。
我们需要自己验证一下。
我们,拖动字节为00的地方(一大片0的地方),然后看OD给我们指示的长度大小。
与我们的import REC的结果相同,这个就很舒服了,嘻嘻。
回到我们的import REC,点击获取输入表。
这个时候就可以了,由于VB的程序比较特殊,输入表之类的都是自己搞的,和我们C++写的程序是有一些不同的。
我们点击修复抓取文件,选择哪个程序,他会生成一些 文件名_.exe的文件。
这个样子就脱壳完毕了。