附件中的DLL壳要怎么脱?
(1)用PEiD V0.92查看壳是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
(2)flyODBG加载dll后,找到OEP:1000595A,
找到IAT开始和结束的地址:10019000 和 100193F0
(3)LordPE处理,运行LordPE完全Dump出这个dll
(4)用ImportREC,在OEP中输入0000595A,RVA:00009000,大小:000003F0
按“获得输入表按”钮后,已到的输入表函数显示
指针:00009000 十六进制:FC(十进制):252) 正确性:假
为什么指针总是无效指针???
谁能脱这个壳?
请前辈们指导。谢谢
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
