Mona是pvefindaddr的接班人,但最新版本(准确说是pvefindaddr2.0.13版开始的所有版本)都有个小问题。
!mona rop -m XXX.dll
命令执行错误,基本原因是immlib库里面的Debugger类函数Assemble()首字母是大写的,而mona里面调用imm.assemble(seq)小写的。修正方式就是对mona.py进行全文字符替换imm.assemble -> imm.Assemble
经过仔细对比,发现是Immunity Debugger版本过低导致的(高版本的immlib已经修改Assemble为小写),如果用1.83+mona就不会有这个问题。我用的ID大概1.73吧~