摘要:
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很 阅读全文
摘要:
输入表中的这些间接跳转是无法正常运行的,因为在正常情况,操作系统必须知道指向各个API函数名称字符串的指针,然后通过GetProcAddress定位到各个API函数正确的入口地址并填充到IAT中,这样这些间接跳转才能起作用。可我们脱壳之后没有这些指针了自然也就无法运行了。 搞明白了问题下一步就着手重 阅读全文
摘要:
ESP定律到达OEP,重新分析代码块 在菜单栏中找到OllyDump插件,该插件的窗口的弹了出来,有一些选项可供我们修改,我们可以对Base of Code进行修改,这里Base of Code = 4000(RVA),该选项相当于对代码段进行了指定,不需要像上一章那样在数据窗口中的PE头中去修改。 阅读全文
摘要:
一开始看到pushad F8执行直到只有esp,eip,变化 在esp处follow in dump 下硬件访问断点 F9运行在硬件断点停下 到达一个长跳转(跳到OEP) 完成 原理回头补充 仅允许非商业转载,转载请注明出处 阅读全文
摘要:
恢复内容开始 IAT(Import Address Table:输入函数地址表) 【IAT作用是什么:】 一个API函数,比如MessageBoxA,我们是如何调用它的呢, 在这里我们可以看出是通过一个间接跳转来抵达了MessageBoxA的入口点。 它的入口点在我的电脑上是75F1FDAE,但是在 阅读全文