压缩与脱壳-脱壳高级篇 下

核心提示： :dd 44612c l 100030:0044612C 000466AA 000466C2 000466DA 000466F2 .f...f...f...f..这些是以NULL结尾的ASCII字符的RVA地址， . . 466aa 是第一个API函数的地址，压缩与脱壳-脱壳高级篇 下(3

:dd 44612c l 10
0030:0044612C 000466AA 000466C2 000466DA 000466F2 .f...f...f...f..

这些是以NULL结尾的ASCII字符的RVA地址， . . 466aa 是第一个API函数的地址，466c2是第二个API函数地址...它们以以NULL结尾。

:db 0004466aa l 20
0030:004466AA 00 00 44 65 6C 65 74 65-43 72 69 74 69 63 61 6C ..DeleteCritical
0030:004466BA 53 65 63 74 69 6F 6E 00-00 00 4C 65 61 76 65 43 Section...LeaveC

通过上面的分析可知,这就是原始的.import表，快dump it!!（看看上文的image_import_descriptors地址)

：/dump 446000 2000 c:aspack.idata.bin

(如你是用Icedump 6.016以前版本用此命令：pagein d 446000 2000 c:aspack.idata.bin）

为了方便大家对比，特将dump正确的import表放在此下载。

=part4===part4===part4===part4===part4===

part4===part4===part4===part4===part4=

Dump整个程序并修正文件头

1、现在我们要找程序的入口点，下命令:bpx loadlibrarya ，然后按14下F5,然后按F10一步一步跟踪来到如下代码：

0137:00C1150E　8B4508　　　　　　　MOV　　　EAX,[EBP+08]　　　　　　　　　　
0137:00C11511　8B10　　　　　　　　MOV　　　EDX,[EAX]　DS:004664FC=00400000
0137:00C11513　8B4508　　　　　　　MOV　　　EAX,[EBP+08]　　　　　　　　　　
0137:00C11516　035018　　　　　　　ADD　　　EDX,[EAX+18]　　　　　　　　　　
0137:00C11519　8B4508　　　　　　　MOV　　　EAX,[EBP+08]　　　　　　　　　　
0137:00C1151C　8B401C　　　　　　　MOV　　　EAX,[EAX+1C]　　　　　　　　　　
0137:00C1151F　E874F9FFFF　　　　　CALL　　　00C10E98　　←在此按F8进入　　　　　　　　　　
0137:00C11524　5F　　　　　　　　　POP　　　EDI　　　　　　　　　　　　　　　
0137:00C11525　5E　　　　　　　　　POP　　　ESI　　　　　　　　　　　　　　　
0137:00C11526　5B　　　　　　　　　POP　　　EBX　　　　　　　　　　　　　　　
0137:00C11527　59　　　　　　　　　POP　　　ECX　　　　　　　　　　　　　　　
0137:00C11528　59　　　　　　　　　POP　　　ECX　　　　　　　　　　　　　　　
0137:00C11529　5D　　　　　　　　　POP　　　EBP　　　　　　　　　　　　　　　
0137:00C1152A　C20400　　　　　　　RET　　　0004　

F8进入后来到如下：