123456

摘要： 1.目标文件已完全被Dump，另存为一个文件2.目标文件必须正在运行中3.事先找到目标程序真正的入口(OEP)或IAT的偏移与大小以加壳RebPE.exe为例，首先OD加载：调试到00413001，设置硬件断点hr espF9断下来，单步调到OEP处:这时启用LoadPE工具，找到对应的进程，右键先执行"correct ImageSize”，再执行"dump full",保存为dumped.exe运行ImportREC，选择RebPE.exe进程:在右下角OEP处埴上正确的OEP的RVA值，这里填1130，默认时，ImportREC重建输入表时会同时用此值修正入口 阅读全文