本文思路主要来自于 这篇帖子(https://www.52pojie.cn/thread-682776-1-1.html)
这次拿exescope当作例子。
用x64dbg进行调试,来到401000 F8两次到401000D
此时给esp所指的内存下硬件访问断点
然后一路F9直到来到这
不远处会出现
F2下断点 F9到达OEP 此时就可以用scylla dump
dump下来以后 直接运行是跑不起来的
先用Scylla就可以修复导入表,首先按IAT Autosearch
scylla会提示用不同的搜索方法搜索出来的结果不一样,问你是否要用高级搜索的结果,这里选否,然后Get Imports
有一个无效的项,记得删除,然后fix dump,选择之前dump下来的文件,成功修复
至此PEcompact 已经被脱了
