1、IAT修复
硬件访问断点(Byte)GetModuleHandleA
F9,中断一次后 : BP on LoadLibraryA 然后F9。取消断点,Alt+F9返回
Search Binary for:
8B 95 40 D8 FF FF 83 C2 04 89
NOP掉JNZ,在该指令上下硬件访问断点,F9
断下后,恢复原先NOP掉的指令。在当前指令前一指令新建EIP。
2、OEP
Search Binary for:
33 4A 04 89 4D DC 8B 45 08 8B 48 04 51 8B 55 08 8B 42 08 50 6A 00 8B 4D 08 8B 51 0C 52 8B 45 F4
2B 45 DC FF D0 89 45 FC 8B 45 FC 5E 8B E5 5D C3
CALL EAX ---> EAX:OEP,F4。F7到OEP
3、LordPE——DUMP
ImprotREC——修复
OK!
已经有(0)位网友发表了评论,你也评一评吧!
原创文章如转载,请注明:转载自Eddy Blog
原文地址:http://www.rrgod.com/decryption/157.html 欢迎订阅Eddy Blog。
Tags:Armadillo 7.0 脱壳