下载地址:http://www.kkx.net/soft/4350.html
001.png (135.26 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
1、右键选择FKVMP>>start
02.jpg (267.78 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
2、点击OD上方的L按钮,找到retn,然后记录rentn的地址
03.jpg (54.16 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
3、2、然后返回,CTRL+G快捷键对VirtualProtect函数下断点
04.jpg (96.86 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
4、按F9运行观察堆栈区,直到NewProtect=PAGE_READONLY为止(也就是F9 6次)
05.jpg (27.59 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
5、之后取消断点按ALT+M,来到这里,对代码段下内存访问断点,F9运行
06.jpg (86.43 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
到了这里
07.jpg (85.84 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
6、然后ctrl+G搜索刚刚记录下来的retn值,F2断点,F9跑一次,来到上图位置,点击右上角的M,取消内存访问断点
08.jpg (94.03 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
8、来到刚刚断点的地方,取消01284728的断点,继续点击右上角的M,对代码段下内存访问断点
007.jpg (61.28 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
7、然后F9运行,到达OEP处,用Scylla_v0.9.8脱壳转存
09.jpg (126.42 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
10.jpg (179.85 KB, 下载次数: 0)
下载附件
2023-2-8 22:36 上传
[color=]直接脱出来的程序打开提示错误,脱壳后的修复不会,有兴趣的大佬可否指点一二
