脱壳修复经典工具:Import REConstructor

随便用OD或进制工具到下面地址修改代码，主要是为了显示格式的需要，我们把原来的格式反转过来为ID+路径方式代码:地址：00462598原始：257320282530385829修改：282530385829202573第二步

关键位置在第一处，第二处不改正常情况没发现什么问题，不过感觉第二处有可能会有经过的时候，所以一起改掉，如果日后发现有问题请自己改回，这里的修改主要是为配合第一处修改后的参数传递顺序，也改为ID+路径的方式

第一处：原始代码:0041C03451PUSHECX0041C03552PUSHEDX十六进制代码:5152修改代码:0041C03452PUSHEDX0041C03551PUSHECX十六进制代码:5251第二处：原始代码:0041C13D.51PUSHECX0041C13E.52PUSHEDX十六进制代码:5152修改代码:0041C13D52PUSHEDX0041C13E51PUSHECX十六进制代码:5251第三步

上面改好后现在就已经可以正常显示了，但当打开进程的时候就会出错，简单分析了一下代码，程序是通过把得到的PID+路径按原来的路径加PID的方式去处理的，就导致无法打开进程，这里用了个取巧的方法，在不影响正常显示的情况下我们把我们得到的PID+路径字符串在程序处理打开进程之前还原回路径+PID的方式然后在让程序去继续处理。

代码如下，下面代码的主要作用其实就是相当于把字符串按需要的格式翻转，有需要的朋友简单跟一下就明白了，就不注释了，很简单的东西。顺便说一下，这段代码我放到了.DATA段，好处是这个段的属性是可读，可写，可执行，所以后面的数据处理也在这个段里处理的，不过原程序中没用空间，所以我把这个段的RSIZE调整到了0x2000如果大家修改自己的版本，可以自己处理这个问题。

下面代码可以利用OD的NonaWrite1.2插件直接插入程序。代码:0041C59C-E95FFC0500JMP0047C200

0x0047c200:LEAEDI,DWORDPTRSS:[ESP+26C]pushadpushfdMOVEDX,EDIpush0CALLDWORDPTRDS:[44D234]ADDEAX,7CE00MOVESI,EDIMOVEDI,EAX

xorebx,ebxmovbl,clsubbl,0bADDESI,0BMOVSBYTEPTRES:[EDI],BYTEPTRDS:[ESI]DECBLTESTBL,BLJNZSHORT0047C227MOVBYTEPTRDS:[EDI],20

INCEDIMOVBL,0AMOVESI,EDXMOVSBYTEPTRES:[EDI],BYTEPTRDS:[ESI]DECBLTESTBL,BLJNZ0047C23b

MOVBL,CLMOVESI,EAXMOVEDI,EDXMOVSBYTEPTRES:[EDI],BYTEPTRDS:[ESI]DECBLTESTBL,BLJNZ0047C24C

POPFDPOPADJMP0041C5A3

Tags:脱壳修复经典工具,Import REConstructor.