0%

今天记录一下,再重新构建PE表的时候出现问题实时的解决办法,这是一个EZIP的壳,我们很简单的就到了我们的OEP:
OEP
然后我们进行dump文件,首先我们用OD自带的插件进行dump。
然后运行dump出来的文件,会出现出错的问题:
错误
解决办法如下:

LoadPE纠正镜像

纠正镜像

import REC修复转储文件

我们可以看到import REC已经正确的查找到了我们需要的东西
修复转储文件
我们接下来获取输入表,剪切输入表dump出来就好了。
但是我们发现我们又一次的出现之前的错误!
再次出现错误

LoadPE重构PE结构

我们用LoadPE重新构建一下PE的结构,
选择重建PE
然后我们点击打开,会出现这样子的一个窗口:
查看成功
这个时候我们的程序就正常运行起来了。
并且壳子也就没有了,其实我们一开始不用OD自带的插件脱壳,用LoadPE去拖这个壳子,import REC去修复是遇不到这个问题的。