admin 发表于 2020-9-2 09:40:39

手脱FSG壳

1.查壳2.脱壳  正常脱壳,修复,发现无法运行;
  需要手动查找iat
3.修复  找到一个call,命令行输入:
  d call的地址
  在dump中向上找,找到全为0为之,记下地址:0042500077DA6BF0ADVAPI32.RegCloseKey
  在dump中向上找,找到全为0为之,记下地址:004252807C838DE8kernel32.LCMapStringA
  在修复工具里:
  oep不变,rva为25000,大小为80(或1000,方便)

页: [1]
查看完整版本: 手脱FSG壳