手动查找 IAT 的方法!!!
一个这样的壳: MoleBox 2.x.x -> Mole Studio
是用 汇编写的;
*****************************
运用 ESP 定律 达到程序的 OEP (如果在这个过程中,程序出现异常,就将它们添加进异常,继续运行程序,到达OPE,当看到 -jmp后,F7 进入就到了),正常脱壳后,发现程序无法运行。。修复时,有两个无效的指针。用等级1修复后,似乎好了,但并没有修好。。不能运行。。
这时,我们可以断定,应该是还有 IAT 没有处理晚(没解码),于是,我们右键,查找--二进制字串;*********
向里面 输入 FF25 这是 IAT 所特有的; IAT 有两种:1:有 JMP 组成 2:有 CALL 组成;********
当看到:
004014BE - FF25 10204000 jmp dword ptr [402010] ; CrackME2.004830F5 ********
004014C4 - FF25 0C204000 jmp dword ptr [40200C] ; CrackME2.00482D45 ********
004014CA - FF25 08204000 jmp dword ptr [402008] ; kernel32.lstrlenA
004014D0 - FF25 20204000 jmp dword ptr [402020] ; user32.DialogBoxParamA
004014D6 - FF25 18204000 jmp dword ptr [402018] ; user32.EndDialog
004014DC - FF25 1C204000 jmp dword ptr [40201C] ; user32.GetDlgItem
004014E2 - FF25 34204000 jmp dword ptr [402034] ; user32.GetDlgItemTextA
004014E8 - FF25 24204000 jmp dword ptr [402024] ; user32.LoadBitmapA
004014EE - FF25 28204000 jmp dword ptr [402028] ; user32.LoadIconA
004014F4 - FF25 2C204000 jmp dword ptr [40202C] ; user32.MessageBoxA
004014FA - FF25 30204000 jmp dword ptr [402030] ; user32.SendMessageA
00401500 - FF25 00204000 jmp dword ptr [402000]
像这样的东西后;
我们确定找到了 IAT ; 同时,我们发现:
004014BE - FF25 10204000 jmp dword ptr [402010] ; CrackME2.004830F5
004014C4 - FF25 0C204000 jmp dword ptr [40200C] ; CrackME2.00482D45
CrackME2.004830F5 和 CrackME2.00482D45: 它们是没解码的标志;
于是,我们记录下:dword ptr [402010] 和 dword ptr [40200C] ,他们 的内存偏移地址;
重新载入程序后***************:dd 402010 和 dd 40200C 这个,然后对它们进行 -------内存写入;******
F9运行后,观察数据窗口,当出现函数时,停止 F9 ,记下函数名字;*********
得到:
004014BE - FF25 10204000 jmp dword ptr [402010]
eax=7C81CAFA (kernel32.ExitProcess)
ds:[00402010]=000020C8
004014C4 - FF25 0C204000 jmp dword ptr [40200C]
eax=7C80B731 (kernel32.GetModuleHandleA)
ds:[0040200C]=000020D6
ExitProcess 和 GetModuleHandleA 就是没有解码的函数;于是我们就可以用 Import REC 来修复那两个指针了;
注意修复的时候,地址要与函数的相一致***************
手动查找 IAT 的方法!!!相关推荐
- 菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK - API的外壳地址来代替真是的IAT的地址 ...
- 其中一个页签慢_Word中如何快速定位到页、行、表格、公式,查找与替换方法...
如果一个文档有几百页甚至上千页,要通过拖动滑块定位到某页将是十分不易的事,拉多了又过了,拉少了又离得太远.如果用 Word 2016 提供的定位功能,定位到某页将变得十分容易的事,并且速度相当快,瞬间 ...
- dump文件 修复iat_手动修复IAT
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措. 首先我们用ESP定律找到加了UPX壳后的OE ...
- linux手动释放内存的方法
Linux手动释放缓存的方法 Linux释放内存的命令: sync echo 1 > /proc/sys/vm/drop_caches drop_caches的值可以是0-3之间的数字,代表不同 ...
- linux系统盘使用率达到100%的问题查找和解决方法
linux系统盘使用率达到100%的问题查找和解决方法 参考文章: (1)linux系统盘使用率达到100%的问题查找和解决方法 (2)https://www.cnblogs.com/free-lon ...
- VSCODE编译头文件时函数没有定义的解决方案(VSCODE手动链接C文件方法)
VSCODE编译头文件时函数没有定义的解决方案(VSCODE手动链接C文件方法) 参考文章: (1)VSCODE编译头文件时函数没有定义的解决方案(VSCODE手动链接C文件方法) (2)https: ...
- 【Android 逆向】x86 汇编 ( 使用 IDA 解析 x86 架构的动态库文件 | 使用 IDA 打开动态库文件 | IDA 中查找指定的方法 )
文章目录 一.使用 IDA 打开动态库文件 二.IDA 中查找指定的方法 一.使用 IDA 打开动态库文件 分析 Android SDK 中的 x86 架构的动态库 , 动态库位置 : D:\001_ ...
- eclipse快捷键 包括查找类、方法、变量
[Ct rl+T] 搜索当前接口的实现类 1. [ALT +/] 此快捷键为用户编辑的好帮手,能为用户提供内容的辅助,不要为记不全方法和属性名称犯愁,当记不全类.方法和属性的名字时,多体验一下 ...
- 003---属性查找和绑定方法
属性查找与绑定方法 属性查找 类有两种属性:数据属性和函数属性 class LuffyStudent:school = 'Luffy'def __init__(self, name, sex, age ...
最新文章
- 一道面试题:用多种方法实现两个数的交换
- android--创建自己的内容提供器
- 前端学习(359):svn服务器配置金和客户端安装
- ANSI X9.19 MAC算法介绍
- mysql授权 改表_mysql开启远程登陆(修改数据表和授权两种方法)
- linux基础练习,Linux基础指令练习
- Kubernetes-基于EFK进行统一的日志管理原理(kibana查询语法)
- (转)马云又在押宝智能投顾!
- knot DNS 01 Tips
- 基于HTTP协议的Java文件传输
- C#入门经典.第6版 源代码下载 百度云盘下载
- Java 弱密码校验判断处理
- 二年级课程表(4月2日-4月8日)
- 海康大华摄像头GB/T28181接入国标视频平台如何选择主码流还是子码流
- Photoshop之渐变工具使用
- word文档通配符换行_Word应用分隔符的使用
- 单身的程序猿伤不起,在神棍节感慨下
- ftpserver配置
- latex参考文献引用【bibtex】
- playwright 启动已经打开的浏览器,或者远程浏览器