软件逆向:x64dbg插件Scylla脱壳修复

上篇文章《软件脱壳esp定律，以及原理》中提及到了如何使用x64dbg插件Scylla进行dump和IAT修复。

这篇文章就详细的记录下脱壳过程和细节。

早些年前，内存dump和IAT修复要用到几个工具的组合才能完成此项工作，像LoadPE和Import REC工具。

这些工具出现在xp年代，目前已经不能很好的兼容win10，虽然经大牛修复过，在实战中脱出来的程序时灵时而不灵。

今天向大家推荐x64dbg官网自带的插件Scylla,它操作简单并且稳定。附带在x64dbg中，支持x86和x64。

在文章《软件脱壳esp定律，以及原理》已经详细的记录了如何找到OEP的过程，这里就不赘述。

1. EIP停在OEP处后，我们就可以通过菜单栏plugins呼出Scylla了。

2. Scylla插件如下。OEP根据EIP的值已经自动填入了，OEP也可以手动输入。

3. 点击IAT Autosearch按钮，搜索IAT。

4. IAT查找到以后，就可获取导入函数了。点击Get Imports按钮即可。

可以看到导入表树状控件中多了不少函数。如果有无效的函数，还可以删除。

5. 导入表函数获取完毕，就可以dump内存了。点击Dump按钮即可完成内存的转存，需要手动指定保存的文件位置。

6. dump保存的exe还不可以正常运行，需要修复导入表。此时只需点击Fix Dump按钮，即可完成修复工作，此步骤需要手动选择上一步dump的文件。

此时会生成DUMP_SCY文件，如下图，三姐妹。

此时我们再对比下脱壳前后的外壳指纹信息。

如何关注作者，字节系列搜索binge即可，抖音号：binge_code

#binge# #脱壳ESP定律# #黑客技术# #软件调试# #逆向工程# #软件破解# #比特艺术大师#