一点脱壳经验

核心提示： 第二步，用bw2k确定程序的真正入口点OEP，一点脱壳经验(3)，运行bw2k，面板上的entry point显示为00000000，ImpRECT 会在该文件所在目录生成一个新的文件：test_.exe ,这就是修复后的文件，至此终于大功告成，按track钮，再运行s-spline.ex

第二步，用bw2k确定程序的真正入口点OEP，

运行bw2k，面板上的entry point显示为00000000。按track钮，再运行s-spline.exe，程序界面出来之后，bw2k的面板上entry point显示为7e910，这就是入口点了。退出s-spline，我们又迈出了可喜的第二步。

第三步，运行SuperBPM，选中erase（默认为不选中），确保trw能够中断。

第四步，运行trw2k，按browse找到并选中s-spline.exe，按loader装入。下bpx 47e910，g。trw弹出时输入pedump c:\test\test.exe，退出trw（不退也行），但不要退出s-spline。在c:\test下会找到test.exe。这个程序目前还不能运行，因为它的import表是被加密的。

第五步，用peditor修正test.exe。运行peditor，按browse找到test.exe，确定。再按sections，弹出一个窗口，显示每个section的信息。在窗口中点右键，在弹出菜单中选dumpfixer(RS=VS & RO=VO)，提示'DONE'，这时可以关闭peditor了。

第六步，运行ImportREC1.2beta2，在Attach to an Active Process下拉框中选中s-spline.exe，然后在左下方OEP中输入7e910(就是EP-image base=47e910-400000)，按IAT AutoSearch。出现对话框Found Something!=》

“Found address which may be in the Original IAT.Try 'Get Import'”

按Get Import，再按Show Invalids 按钮，在Imported Function Found框中会有很多蓝色的项目。在其中点右键，选Trace Level1(Disasm)，再按Show Invalids 按钮，可以看到所有的dll都为valid:YES字样。输入表到此完成。

第七步，修复已脱壳的程序test.exe。选择Add new section(缺省是选上的),按Fix Dump，并选择刚才Dump出来的文件test.exe。ImpRECT 会在该文件所在目录生成一个新的文件：test_.exe ,这就是修复后的文件。至此终于大功告成，点击test_.exe可以运行了。