第九课 telock修复与跳过IAT加密

                            第九课 telock修复与跳过IAT加密

 

在压缩壳实例演示中除了FSG2.0，还有一个TELOCK0.98的，那TELOCK属于加密壳了，当然是非常简单的加密壳了，今天我们就看看这个壳在修复方面会遇到什么问题。

 

 

TELOCK脱壳用最后一次异常法。

 

一： 修复过程中卡机问题

     

   TELOCK不用获取RAV，也没必要。获取输入表后发现有大量无效函数，有无效函数当然就要追踪了。先用追踪级别一，发现不起作用。那就追踪级别三上了，一般追踪级别二就不用。不恩能够一下子全选就追踪，这样直接卡死。三四个一次就好吧，是个耐心活儿啊。注意，追踪的过程中会发现有些是无法追踪成功的。那么在最后剪切指针就OK了。

   

 

    Btw：如果程序修复等级3会死机（无论你一次选几个），那么我们就重新开一个进程，也就是直接打开程序，IR载入新的进程（注意看ID），一点一点修复，

     Tips：如果新的进程在修复中自动或其他的原因意外关闭了，不用怕，我们使用IR自带的保存树文件的功能保存，然后再开启进程，载入进程，载入树文件，继续修复。   

 

 

发现问题：起始在用IR进行修复的时候根本不用开OD，可以直接打开程序。

这样不就怕出现卡死的情况了么。但用LordPe还是的开着OD在入口点的。

 

二： 避开TELOCK的IAT加密

 

1，OD载入程序，查看内存，在数据段和资源段之间的那个段上，F2，然后Shift+F9。

然后Ctrl+B（在反汇编窗口），输入 0A F6 89 54，这样就来到了magic跳的附近。

2，下面有个je 该为jmp即可，注：不用nop填充。

3，下面就是用内存镜像法去脱了。

4，查看内存，在资源段F2，Shift+F9，再次查看内存，在代码段F2，Shift+F9这样就 来到了oep，直接用OD脱掉就OK了，不用修复了。