pediy exe
格式
pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载
脱壳
RebPE.exe
1 OEP寻找技巧
OEP也就是原函数的入口点,在这里停止可以通过dump去掉外壳。 1)直接跟踪到.text段
2)内存访问断点,麻烦~~~~(除非熟悉该外壳算法,不然中断次数太多了) 3)堆栈平衡去找(快啊),在command 设置读取的断点,马上就找到了
4)找到之后,可以通过编译语言确认一下,如:
GetVersion是VC6.0独有的特征。
OEP为00401130
2 停在OEP口之后,就是DUMP了,使用LordPE
设置从磁盘黏贴文件头,避免PE头被破坏
右键修正ImageSize大小,然后full dumpl(完整脱壳),这里有可能PE头无法访问
使用od在
里面修改PE文件头的属性。
3 重建输入
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
随便找一个函数调用的
d 0x405028;然后在数据窗口点击长型(long)->地址,就可以看到整个输入表了
00405000 7C810EF1 kernel32.GetFileType 004050B8 FFFFFFFF
如此,输入表的大小为004050B8-00405000=B8,起点为004050B8
关键是这里,刚才找到的信息如下: OEP:1130
RVA:5000
Size:B8
EXE的base默认为00400000(DLL就不一定了)
接着查看这里面有没有无效的数据,有的话就要手工了。
接着dump就行了,这里发现“吾爱破解专用版”在这里失效,可能小生弄太多插件了,有bug,用ollyICE就没有问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
。