注意ImportREC的选项设置

5bcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7K6u0Q4x3X3g2H3k6h3c8A6P5g2)9J5k6h3y4G2L8g2)9J5c8R3`.`.    搜索
32Lite 0.03a 脱壳――QEDITOR.EXE

fly说道:
00410D50     55                  push ebp //在这儿用LordPE纠正ImageSize后完全DUMP这个进程
00410D51     8BEC                mov ebp,esp
00410D53     53                  push ebx
00410D54     56                  push esi
00410D55     57                  push edi
00410D56     BB 00604100         mov ebx,QEDITOR.00416000
00410D5B     66:2E:F705 D2134100>test word ptr cs:[4113D2],4
00410D65     0F85 DB000000       jnz QEDITOR.00410E46
00410D6B     6A 00               push 0
00410D6D     FF15 54844100       call dword ptr ds:[418454] ; OLE32.CoInitialize

运行ImportREC，选择这个进程。把OEP改为00010D50，点IT AutoSearch，点“Get Import”，设置ImportREC的“新建输入表”选项只保留“重建原始FT”，FixDump，可以跨平台运行！

我的ImportREC已经是那样设置了.

可是还是不行啊.会不会是dump时有错?麻烦再看看.

imr中的OEP填错了，是00010D50，不是000010D5

我这里是一时不小心输错了。我试过输00010D50是不行的。

这是因为你肯定是用了OD插件的第一种方式脱壳对不对.如果用第一种方式就会出这种问题.你用LORDPE直接DUMP修复和用OD的第二种方式脱修复就不会出错了.

用LordPE来dump
再修复输入表

to tane：什么是第一种方式、第二种方式？第二种方式怎么选？

或提供LoadPE下载。我是新手。谢谢。。

PE工具

824K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6b7c8i4c8G2L8$3I4K6i4K6u0W2K9s2c8E0

找了很久都找不到，原来本站就有，刚刚看到了。谢谢！！