设置SOD全选项 载入 停在TLS入口
在.text下内存写入断点,中断后取消 停在
单步到
判断是否解码完毕 直接在007CC71B F4一下 再在.text段下内存访问断点
把0063B1C0 当做OEP好了
壳模拟了2个DLL KERNEL32.DLL和USER32.DLL
模拟后基址为00D60000和00E80000
随便跟一个FF15看看 找004FF171 这个好了
在007C4866这里 EAX指向模拟函数或者正常函数 壳中还有部分函数没有加密
写脚本
转悠一圈回来 脚本跑完了 IAT分布比较散 用UIF放到.idata段里 DUMP
IMPORTREC修复 清空TLS,重定位,调试,延迟等目录 修改下区段虚拟大小和物理大小
简单优化下 2.39M 原版6.88
收工
附件为脱壳后主程序