1. 单步

一上来就全是 jmp, 不用管它, 直接单步走

跟到 jmp eax, 跳到 OEP

用 OD 插件脱壳, 发现无法运行

我们用 ImportREC 修复一下看看

注意先用 LordPE 修复一下镜像大小, 然后再用 ImportREC

输入 OEP, 自动查找IAT, 然后 获取输入表, 显示无效函数

发现没有无效函数, 直接 修复转存文件

再次运行, 发现还是打不开, 这时候我们有几种办法 :

一般情况下, 修复完之后还是无法运行, 我们就会想 OEP 是不是找错了, 我们并没有找错 OEP

这时候我们怎么办呢, 我们用 LordPE, 重建PE, 选择刚才修复完的程序

再来看一下, 发现可以运行.

2. ESP定律

用 LordPE 脱壳,

先修正一下大小

完整转存

发现打不开

然后我们用 ImportREC 修复, 步骤同上

遇到修复完之后都无法运行的程序, 有时候可以用重建PE的方法.