脱壳常见问题

脱壳常见问题:

内存dump之后图标无显示, 资源文件不见了?

产生原因: 内存中的数据大小大于文件中的大小, 导致dump时, 将资源节数据后移, 而原始的资源节的指针还是指向之前的位置, 此时的数据为0.

解决方案: 修改资源节的指针指向资源数据往下移动后的位置, 或者删除多余的数据, 将资源节的数据剪切到原始位置.

 

内存dump的时机, 程序停在OEP后进行dump, 程序能够正常运行, 而程序在运行起来之后在进行dump, 程序无法正常运行?

某些变量的值被修改后, 导致程序运行过程中产生了问题.

例如:

Int g_Number = 200;

Int main(void)

{

       Printf(“%d\n”,  1000/ (g_Number – 100));

       g_Number -= 100;

       Return 0;

}

如果停在OEP的时候就进行dump, 那么程序能够正常运行.

如果在运行之后, 再从OEP处进行dump, 此时全局变量g_Number已经被修改为100, 如果再次运行时, 会发生除0异常, 程序无法正常运行.

 

内存dump之后, 使用IMPORTREC等工具进行修复, 此类工具究竟做了什么?

在内存中找到IAT表的起始位置, 算出RVA地址, 获取IAT表的大小, 根据内存中IAT的值修复dump出来的可执行程序.