我们以vmp为例
https://wwmf.lanzout.com/i66kC27a0ekj
密码:2hq4
修复跳转表
我们来到OEP
通过运行,我们发现两个API调用
获取这两个API调用的地址,然后在一个具有执行权限的代码段中 写入跳转语句,如下图所示
记住指令之前要相隔一个字节,也就是与6对齐
然后将call 地址指向这些跳转
使用UIF重建IAT
打开 UIF(universal import fixer)
填入相应数据,跳转表要被包含在代码开始
和代码止于
之间,点击开始
此时转到跳转表,发现IAT被修复完成
使用Scylla修复IAT
将EIP强制转到OEP,打开Scylla,点击IAT Autosearch
点击get Imports
点击dump保存,再点击Fix Dump,选择刚才dump的文件即可