• 微信
首页 事物 正文

importrec Shrinker

时间:00:11:12作者:admin分类:事物浏览:7评论:0

  Import REConstructor 可以从杂乱的IAT中重建一个新的 Import 表(如:加壳软件),它可以重建Import表的描述符、IAT和所有的ASCII函数名。配合手动脱壳,可以脱 UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack,ASProtect 等壳。该工具位于:光盘\tools\PE tools\Rebuilders\Import REConstructor。

  运行条件:

  1) 目标文件己完全被Dump(转储)到另一文件

  2) 目标文件必须正在运行中

  3)事先要找到真正的OEP(入口点)

  4) 最好加载IceDump,这样建立的输入表较少出现跨平台问题

  使用步骤:

  (1)找被脱壳的OEP(入口点)(2)完全Dump(转储)目标文件

  (3)运行 Import REConstructor 和需要脱壳的应用程序

  (4)在Import REConstructor下拉列表框中选择应用程序进程

  (5)在左下角填上应用程序的真正入口点偏移OEP(入口点)

  (6)按 IAT AutoSearch 按钮,让其自动检测 IAT位置,出现 Found address which may be in the Original IAT.Try 'Get Import' 对话框,表示输入的OEP(入口点)发挥作用了。

  (7)按 Get Import 按钮,让其分析 IAT 结构得到基本信息

  (8)如发现某个DLL显示 valid :NO,按"Show Invalids"按钮将分析所有的无效信息,在Imported Function Found栏中点击鼠标右键,选择 "TraceLevel1 (Disasm)",再按"Show Invalids"按钮。如果成功,可以看到所有的DLL都为valid:YES字样

  (9)再次刷新"Show Invalids"按钮查看结果,如仍有无效的地址,继续手动用右键的Level 2或3修复

  (10)如还是出错,可以利用"Invalidate function(s)"、"Delete thunk(s)"、编辑 Import 表(双击函数)等功能手动修复。

  (11)开始修复已脱壳(nmsl是什么意思?nmsl原本是骂人的词(母亲去世),被黑粉带节奏,翻译成了never mind the scandal and liber(永远不要理会谣言和重伤)。因此,不少网友原本不知道该词的意思,还都以为是一个正能量的好词。)的程序。选择 Add new section (缺省是选上的) 来为 Dump(转储)出来的文件加一个Section(虽然文件比较大,但避免了许多不必要的麻烦)

  (12)按Fix Dump按钮,并选择刚在(2)步Dump(转储)出来的文件,在此不必要备份。如修复的文件名是Dump.exe,它将创建一个Dump_.exe,此外OEP(入口点)也被修正

  (13)生成的文件可以跨平台运行

继续浏览有关 的文章

相关文章

猜你喜欢