ImportREC中文版是一款功能非常强大的输入表重建工具,ImportREC中文版可以帮助用户对软件的描述、名称、版本等信息进行二次编辑,当然也可以用于文件的破解、加壳等用途!用ImportREC中文版配合手动脱壳,可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack,ASProtect等壳。
1、Import REConstructor是一个可以从杂乱的IAT中重建一个新的Import表。(例如加壳软件等), 它可以重建Import表的描述符、IAT和所有的ASCII函数名。
2、用它配合手动脱壳,可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack,ASProtect等壳,说到Import REConstructor,一般玩破解和汉化的人都知道这个软件。
3、这个软件的功能就是根据原加壳程序生成一个输入表来修复你自己脱壳后不能运行的程序。
4、对一般的壳,只要找好入口点,用OllyDBG脱壳,再用Import REConstructor修复,基本就可以搞定。
5、对Armadillo、ACProtect这些比较复杂的,用Import REConstructor也可以节省我们大量的时间。
1、找被脱壳的入口点(OEP);
2、完全Dump目标文件;
3、运行Import REConstructor和需要脱壳的应用程序;
4、在Import REConstructor下拉列表框中选择应用程序进程;
5、在左下角填上应用程序的真正入口点偏移(OEP);
6、按IAT AutoSearch按钮,让其自动检测IAT位置, 出现Found address which may be in the Original IAT.Try 'GetImport'对话框,这表示输入的OEP发挥作用了。
7、按Get Import按钮,让其分析IAT结构得到基本信息;
8、如发现某个DLL显示"valid :NO" ,按Show Invalids按钮将分析所有的无效信息,在Imported Function Found栏中点击鼠标右键,选择"Trace Level1 (Disasm),再按Show Invalids按钮。如果成功,可以看到所有的DLL都为valid:YES字样;
9、再次刷新Show Invalids按钮查看结果,如仍有无效的地址,继续手动用右键的Level 2或3修复;
10、如还是出错,可以利用Invalidate function(s)、Delete thunk(s)、编辑Import表(双击函数)等功能手动修复。
11、开始修复已脱壳的程序。选择Add new section (缺省是选上的) 来为Dump出来的文件加一个Section(虽然文件比较大,但避免了许多不必要的麻烦) 。
12、按Fix Dump按钮,并选择刚在(2)步Dump出来的文件,在此不必要备份。如修复的文件名是Dump.exe,它将创建一个Dump_.exe,此外OEP也被修正。
13、生成的文件可以跨平台运行。
1、显示不能初始化追踪器什么原因?
这可能是因为你先前安装这个软件的时候替换了一些系统文件而导致的,只要在组策略中进行一下设置即可:单击“开始→运行”,输入“gpedit.msc”,然后依次展开“计算机配置→管理模板→系统→Windows文件保护”,然后双击“设置文件保护扫描”并将其设置为“禁用”即可。
另外,还有一种解决办法可以试试,在注册表里面找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWinlogon,把“SFCDisable”一项的值改成“FFFFFF9D”然后用任务管理器关掉explorer进程再重新打开(不会这种方法直接重启电脑也一样),没有的话就自己建一个,类型是dword。
2、如何使用脱壳脚本?
选对脚本,就自动脱壳了,等到脚本到达OEP后,就用lordPe脱壳,在用ImportRec修复一下。有时候要修复IAT和其他东西的!
但是脱壳脚本格式有TXT格式的,有OSC格式的,都是要在OD中加载的,通常在OD中先加载要脱壳的EXE文件,然后选择针对该EXE的脱壳脚本,然后运行OD,就可以了。但是脚本不是万能的,一个加壳文件通常有好几种脱壳脚本如Asprotect、Execryptor、Themida等。
同类推荐
2020-07-09
立即下载2021-11-12
立即下载2020-06-28
立即下载2020-11-19
立即下载2020-07-16
立即下载2021-12-14
立即下载