|
[求助]想学VC++的dll编程。。。
网上应该有很多相关资料,细心查找一下,DLL没什么难的,和普通的EXE文件没多大区别 |
|
[求助]OD中的界面选项中的异常到底该怎么设
有异常也不一定都是坏事, 很多情况下它给你指明了一条光明大道,这时,就需要利用异常了 |
|
[原创]IAT 重建工具 - IATRebulid
谢谢,看了你的头像,让我想入非非哦! |
|
[原创]IAT 重建工具 - IATRebulid
V1.02 版新增了一些实用功能: 1. 增加 API 数据解读功能(可以从OllyDbg中复制过来,直接解读出API函数名称). 2. 改变了数据处理方式,极大提高了导入和导出IAT表的速度. 3. 修正导出的IAT文件地址数据格式,使之与导入的IAT文件格式一致. 4. 增加了PE头部数据按字段查询功能. 欢迎继续使用! |
|
[原创]IAT 重建工具 - IATRebulid
呵呵,简单地看了一下这个软件,应该很简单,直接ESP定律脱之,引入表没有破坏,所以本软件在这里没有用武之地. 但程序有文件自校验,若脱壳后直接运行,闪一下窗口就退出了 可以 bp CreateFileA 和 bp ReaFile 下断, 拦截到相关调用点,进一步跟踪应可去除自校验 -------------------------------------------------------------------------------------------------------------------------------- 看了一下那个IAT文件, 有些地方不太对: 如: [kernel32] 00643208 GetCurrentThreadId [ntdll]00643208 RtlDeleteCriticalSection RtlLeaveCriticalSection RtlEnterCriticalSection [kernel32]00643218 InitializeCriticalSection 这里将ntdll和kernel32安排在同一个地址: 00643208, 这肯定是不行的. 根据我的经验,ntdll下面的那3个函数应是Kernel32下的三个函数,可直接将Rtl前缀去掉,如下: [kernel32] 00643208 GetCurrentThreadId DeleteCriticalSection LeaveCriticalSection EnterCriticalSection InitializeCriticalSection 这样,这些函数就全部位于 Kernel32.dll中了. 另外,文件中还有类似: ASCII "j$h" 之类的东东,如下: FindFirstFileA ;ASCII "j$h" <=== 注意 CreateDirectoryA FindFirstFileA ;ASCII "j$h" <=== 注意 FileTimeToLocalFileTime 这里好像是一个API函数地址,将它注释掉了, 是不对的,这样的话,下面的函数就会全部错位了. 我的做法是:如果不知道这个函数名称,就用上一个函数名称暂时取代它,如下所示: FindFirstFileA FindFirstFileA <=== 用上一个函数暂时取代 CreateDirectoryA FindFirstFileA FindFirstFileA <=== 用上一个函数暂时取代 FileTimeToLocalFileTime 如果运行出错,再进一步跟踪原因. 谢谢使用! |
|
|
|
[原创]IAT 重建工具 - IATRebulid
不好意思,导出工作完成后,没有及时恢复鼠标状态。 另外,我还发现有一个小问题:导出的IAT文件文件中数据地址是以RVA地址表示的,但在引入IAT文件时,要求以VA地址引入,这给实际操作带来稍有不便(要求手工转换一下) 这些问题,下版一并解决. 谢谢! |
|
[求助]有关OD调试问题(已解决)
不知有否有恶意程序从中捣乱 |
|
[原创]IAT 重建工具 - IATRebulid
谢谢反馈问题,确实存在这个问题,附件已修正 |
|
[原创]IAT 重建工具 - IATRebulid
问题是,有时好像无法自动改正 |
|
[原创]IAT 重建工具 - IATRebulid
多谢指点 本来是可以做成自动搜索和分析IAT表, 但那样做的话就和ImportREC是一样的了,那还不如直接用ImportREC, 我这里是想完全通过手工的方式安排,定位IAT表. 如果不熟悉这个软件,刚开始肯定确得很嘛烦, 由于这个软件是我自已写,我自已用起来感觉还很顺手,文中提到的那个例子, 通过手工方式, 也就几分钟搞定了. 当然,这个例子用ImportREC修补IAT会更快, 我只是想以一种更大的自由度方式来修补IAT. 某些情况下,可能用ImortREC无法修补IAT,或修补不完整, 之前我都是先运行脱壳后的程序,出现异常后,再来对比加壳程序,找出调用的API函数, 就这样一个一个地手工修补, 这样搞,觉得太费事了. 不过,在以后版本中,我会考虑尽量简化操作的. |
|
[求助]请教一下高手,如何快速简单的判断关键性跳转
台上一分钟,台下十年功 |
|
[原创]IAT 重建工具 - IATRebulid
谢谢老大,不知老大用的ImportREC是哪过版本的,我用ImportREC经常不顺手,由其在自动跟踪时,ImportREC就死了,这时除了强行关闭,没有其它的办法 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值