|
[活动结束]看雪十周年论坛活动 [1楼己公布结果]
踩上一下!-踩上一下! |
|
|
|
|
|
请问"原程序的OEP"是什么意思?
我的理解是这样的: 每个程序都有EP,就是程序开始执行的起点,也就是入口点。例如notepad的入口点就是004010cc。但是当你给notepad加上壳后,形成一个新的程序――加壳后的notepad,这时它的入口点就不是004010cc了,因此我们称004010cc为notepad的OEP(相对加壳后程序而言),也就是未加壳程序的入口点的意思。 我很菜,不知说得对不对?不对大家莫笑掉大牙哦。 |
|
ImportREC的问题?
谢谢fly,由于某些原因暂时不想换系统。 我想搞明白的问题是: 1.UPX这样的壳,并没有破坏输入表,在OD中可以看到。ImportREC也能准确地定位IAT的地址和大小,同样的数据,为什么会得出不同的结果?ImportREC和OD是根据什么确定函数名的? 2.当我们能在内存中获得完整的IAT时,如果不用ImportREC,有没有其他方法重建IAT?比如象AsPack,dump后修改一下EP和IID的地址就能搞定。可是UPX的IID好像是被破坏了,手工修复就晕了。 |
|
|
|
ImportREC的问题?
另一个软件。曾经发过,没有解决,放在一起,希望那位大侠帮忙看看。多谢! 【求助】为什么ImportREC会错认函数 为什么ImportREC会错认函数。 脱壳后用ImportREC修复时,发现在Kernel32.dll中有许多API错认了。 系统:WINME ImportREC :V1.6汉化版 壳:ASProtect 1.22 - 1.23 Beta 21 OEP正确。 求教:这种情况要怎样处理,总不会是一个一个核对吧。 这个跟系统有关吗?为什么会这样呢? 以下是用ImportREC提取的IAT-------错误。 1 0010A1B4 kernel32.dll 0081 BackupSeek 1 0010A1BC kernel32.dll 00B8 CreateEventW 1 0010A1C4 kernel32.dll 0220 IsBadHugeReadPtr 1 0010A1D4 kernel32.dll 0081 BackupSeek 1 0010A1DC kernel32.dll 0221 IsBadHugeWritePtr 1 0010A208 kernel32.dll 00A2 CloseProfileUserMapping 1 0010A20C kernel32.dll 0172 GetEnvironmentStrings 1 0010A294 kernel32.dll 0314 TlsFree 1 0010A2A0 kernel32.dll 0312 TlsAlloc 1 0010A2A8 kernel32.dll 01F3 GlobalAlloc 1 0010A310 kernel32.dll 00A1 CloseHandle 1 0010A350 kernel32.dll 036C lstrcpyn 1 0010A354 kernel32.dll 0363 lstrcmp 1 0010A384 kernel32.dll 0366 lstrcmpi 1 0010A3A0 kernel32.dll 0360 lstrcat 1 0010A3A4 kernel32.dll 036F lstrlen 0 0010A3A8 ? 0000 86C5A7F8 1 0010A3AC kernel32.dll 0369 lstrcpy 0 0010A3B4 ? 0000 86C5A828 ================== 以下是Olly中显示的IAT――正确,修复后程序正常运行。 1 0010A1B4 kernel32.dll 0326 UpdateResourceW 1 0010A1BC kernel32.dll 034B WritePrivateProfileStringA 1 0010A1C4 kernel32.dll 0222 IsBadReadPtr 1 0010A1D4 kernel32.dll 0326 UpdateResourceW 1 0010A1DC kernel32.dll 0225 IsBadWritePtr 1 0010A208 kernel32.dll 030A SwitchToThread 1 0010A20C kernel32.dll 0173 GetEnvironmentStringsA 1 0010A294 kernel32.dll 0315 TlsFreeInternal 1 0010A2A0 kernel32.dll 0313 TlsAllocInternal 1 0010A2A8 kernel32.dll 023F LocalAlloc 1 0010A310 kernel32.dll 0121 FindCloseChangeNotification 1 0010A350 kernel32.dll 036D lstrcpynA 1 0010A354 kernel32.dll 0364 lstrcmpA 1 0010A384 kernel32.dll 0367 lstrcmpiA 1 0010A3A0 kernel32.dll 0361 lstrcatA 1 0010A3A4 kernel32.dll 0370 lstrlenA 1 0010A3A8 kernel32.dll 033C WinExec 1 0010A3AC kernel32.dll 036A lstrcpyA 1 0010A3B4 kernel32.dll 0239 LoadLibraryA |
|
|
|
ImportREC的问题?
我试了所有选项,也脱了几个不同的软件,这几个API就是识别错误,只有手工更改函数名才行,用ImportREC V1.42也同样,真是不明白呀。 这个跟系统有关系吗? 我是在winme系统,不知有没有关系,有用winme的吗?是否也有这样的问题? |
|
[求助]为什么ImportREC会错认函数
最初由 DonQuixote 发布 问题是,运行脱完壳的(可以正常运行的)程序,然后再用ImportREC来获取IAT,它找到的还是那些错误的API,我想既然已脱壳,应该跟壳没有关系吧。 比如UpdateResourceW----->BackupSeek,lstrcpynA---->lstrcpyn,等是明显的错认。 其他的dll则不会错认。 |
|
[求助]为什么ImportREC会错认函数
最初由 Lenus 发布 利鹰彩票分析与决策系统 V2.02 【下载地址】:http://www.skycn.com/soft/9083.html |
|
Aspack2.12脱后出现错误,请教
谢谢fly这么快回答,这个搞定了。 |
|
Aspack2.12脱后出现错误,请教
明白一些了,多谢fly。 再问一个问题,是不是附加数据的修复都要手动跟踪和修复呀? 我用Aspackdie脱壳,附加数据会自动粘贴,但是怎样才能知道该修改那些地址呢? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值