实用电脑技术1200例_760

破解技术实例760_我簡單說一下ReGet的手動脫殼----C-pen() 的方法一樣,不同的是iGame是ASProtect V.1.0而ReGet是ASProtect V1.07,它們都是只有.rdata Section而沒.idata Section,所以基本上我們只要Rebuild IAT,程式就能運行,IAT的RVA就是.rdata Section的VA, 重建IAT的工具當然是用Imp_list來重建,它產生的Import1.bin文件就是 IAT,具體可參考我脫iGame的文章。 如果你成功的Dump和Rebuild IAT後程式已能運行,若你想要進一步的 Rebuild Import Table,你可以在脫殼後的文件的.rdata Section後半部 (事實上這也是原始的Import Table所在)找尋你要的Import Table的RVA 再用Soft-ICE的M addr1 L addr2的指令將IAT Copy至 Image_Thunk_Data 的區域,用Imp_list來重建Import Table,將Image_Import_Descriptor 的OriginalFirstThunk 指向Image_Thunk_Data,而FirstThunk指向IAT, 再將Image_Thunk_Data覆蓋IAT,將目錄表的Import Table的RVA和SIZE