HOPEAMOR

摘要： 1.查壳2.找到OEP对第二个Call使用ESP定律，再跳转后的位置进入第一个Call，这里就是OEP了，在这里直接dump的话会失败，那是因为MoleBox壳对IAT进行二次跳转，我们先在OEP位置设置软件断点；3.手动修复IAT我们数据窗口跟随到这个加载系统函数的地址就是IAT；我们看到有部分IAT被隐藏到了其它位置，我们使用硬件写入断点，从新运行此程序，找到写入位置；我们通过硬件写入断点找到... 阅读全文