[求助]修复IAT无效函数时遇到的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]修复IAT无效函数时遇到的问题 0.00雪花

发表于: 2009-11-7 17:13 2354

[旧帖] [求助]修复IAT无效函数时遇到的问题 0.00雪花

ziwu

活跃值

2009-11-7 17:13

2354

大家好，我脱的壳是MoleBox v2.0 [Overlay] *，找到oep后，在importrec里修复时，显示无效函数后，有几个基址上是有函数显示的，但是被现实为无效函数。进行2，3级修复都无效，在基址出进行反汇编后，显示的还是基址上本身的函数。在OD中断点跟随到的也是基址上的错误函数.就是如下显示的，麻烦大家帮忙看看应该如何修改，谢谢了。
rva:000FD884 mod:user32.dll ord:000e name:BeginPaint

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・0

免费

支持

分享

最新回复 (14)
yffei 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	yffei 2 楼我也遇到过同样的问题不懂估计得手动修复 2009-11-7 17:18 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 3 楼谢楼上回复。是要手动修复，但试了了几种方法都没成功，关键是看别人修复的时候，在无效函数基址上没有函数，而我碰到的情况是在基址上有函数但是是无效的。。。 2009-11-7 19:26 0
asdfcfdsa 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 0 关注私信	asdfcfdsa 4 楼看一下其它软件的这个地方是什么函数,手动改一下就行了,很简单. 2009-11-8 01:43 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 5 楼谢楼上回复。但具体不太明白如何查其他软件的同样地方，是地址吗？还有不同软件的函数结构是一样的吗？ 2009-11-8 09:36 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 6 楼补充一点，自己对PE文件不了解。我在查看无效函数的时候，发现显示无效的地方都是不同两个函数段相接着的地方。比如说kernerl32段函数和user32段函数相接的中间两个函数是显示无效的，如下所示。 rva:000FD850 mod:kernerl32.dll ord:038C name:WriteFile rva:000FD854 mod:kernerl32.dll ord:03AA name:lstrcmpi rva:000FD858 mod:user32.dll ord:0021 name:ChangeDisplaySettingsA rva:000FD85C mod:user32.dll ord:0036 name:CharUpperBuffA 就是像上面这样，中间的两个基址显示为无效函数。希望有知道的朋友指点一下，谢谢了。 2009-11-8 10:16 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 7 楼现在按照黑鹰的教程《6-轻松解被MoleBox打包了的程序》已经脱壳了，而且貌似已经躲过了IAT的加密。在IR修复的时候已经没有无效函数了。overlay也已经复制过去了。但是运行的时候显示配置信息无法读取。我尝试脱了连个软件的molebox壳，结果都是这样，估计是我哪里出问题了。希望大家知道的话指点一下，先谢谢了。 2009-12-3 10:07 0
xtwksse 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 131 粉丝 0 关注私信	xtwksse 8 楼是不是还有壳啊。。。 2009-12-3 10:11 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 9 楼谢楼上回复。我查了一下，其中的一个软件确实还有个upx的壳，但另一个软件却是没有壳了，普通扫描为BobSoft Mini Delphi -> BoB / BobSoft [Overlay] *，深度和核心扫描为Borland Delphi 6.0 - 7.0 [Overlay]。我试着图脱的三个小软件都是这样，显示配置信息无法读取。我估计是我哪里弄错了 2009-12-3 11:13 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 10 楼看了论坛上的一些文章，发现我的问题应该是出在，molebox捆绑的文件没有解绑出来。然而在照着CCDebuger前辈的例子试验时，发现我在对ADD EAX,DWORD PTR DS:[ECX+CONST]命令的地址处下的断点却这么也断不下来。总的说来对断点什么的还是没有明确的概念，还要继续探索。 2009-12-4 18:54 0
狼行wolf 雪币： 290 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 107 粉丝 0 关注私信	狼行wolf 11 楼附加数据没有搞定。 2009-12-4 19:15 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 12 楼谢楼上回复，是因为附加数据没有搞定。但现在我遇到的问题是，为什么在某个地址处用F2断点后，在运行后却没有断下来，很无奈。而在CCDebuger前辈的例子中却是，能够断下来的。不知道我哪里出了问题。 2009-12-4 19:31 0
ziwu 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	ziwu 13 楼现在想把被MOLEBOX捆绑的文件解绑出来。捆绑文件是在overlay当中吧，那么解绑的思路是不是CGDEBUGER和FLY前辈提供的方法。可惜我在照着前辈们的方法试验中遇到了麻烦，在kernel32.VirtualAlloc函数定位前的ADD EAX,DWORD PTR DS:[ECX+CONST]命令地址处下断，运行的时候却断不下来，不知道什么原因。 2009-12-9 18:40 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 14 楼我也遇到了！呵呵！看下学习下吧！配置信息无法读取！哎 2010-5-25 20:47 0
乱世者雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 118 粉丝 0 关注私信	乱世者 15 楼楼主的问题搞定了没有啊，我现在也发现和你一样的问题想也想不通，有好的解决办法？ 2010-6-24 21:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

ziwu

发帖

回帖

RANK

他的文章

[求助]修复IAT无效函数时遇到的问题 2355

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区