脱壳修复IAT跨平台运行问题?（高分、速结）-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
lynnDGK 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	lynnDGK 2010-3-21 10:40 2 楼 0 也可能是反DUMP
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-21 11:05 3 楼 0 你怎么脱的壳？我以前也遇到过同样的问题，当时是因为在代码中直接call了API的地址，而另一个系统中的dll可能装入内存位置不同，所以就当掉了。如果本机能运行的话我觉得应该不是IAT的问题……或者是你试过拷贝到多台机子上试试么，是不是除了本机都不能运行。
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-21 11:20 4 楼 0 哦，能详细讲讲你当时怎么处理的吗？其它机器都不能运行
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-21 11:27 5 楼 0 不好意思我当时不是脱壳，而是patch一个exe，然后出现了那个问题，仅仅是在导入表中把所用到的函数加上就可以了。你试试用lordpe之类的软件查看一下导入表是否正常，然后再在其他机子上调试一下，看看在哪里出的问题吧，我能想到的就这么多了……
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-21 11:42 6 楼 0 麻烦您看下这些东西正常吗？我对这不太熟
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-21 12:33 7 楼 0 还有输出表？是个dll哈…iat表是空的，这个不太对劲啊……哦晕，不懂pe结构的话这个比较难办……你最好还是请别人给你脱这个壳吧……我脱壳的经验也比较少
skypismire 雪币： 75 活跃值： (418) 能力值： ( LV6，RANK：90 ) 在线值：发帖 96 回帖 706 粉丝 1 关注私信	skypismire 1 2010-3-21 15:43 8 楼 0 楼主你能不能把软件传上来，大家都可以帮你看看，你贴的这个图，也看不出什么名堂
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-21 16:07 9 楼 0 呵呵，谢谢，可能原来处理有问题，现在可以了
skypismire 雪币： 75 活跃值： (418) 能力值： ( LV6，RANK：90 ) 在线值：发帖 96 回帖 706 粉丝 1 关注私信	skypismire 1 2010-3-21 17:57 10 楼 0 你的这个，在我机器上运行没问题
ryanxgyang 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ryanxgyang 2010-3-22 10:38 11 楼 0 楼主是怎么得到IAT的? 我之前遇到过类似的问题,在XP下运行可以,Vista下就出现问题了. 因为: Windows Vista提供了一个名为地址空间布局随机化(Address Space Layout Randomization ASLR)的新特性.该特性允许windows在第一次载入一个DLL时,为它选择一个不同的基址. 地址空间布局随机化的目的就是为了让黑客们更难以发现常用系统DLL的地址,以此来避免其中的代码被恶意软件利用. 所以: 同一只API的地址,在每次加载到内存后,地址可能不同. 希望对楼主有用.
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-22 11:13 12 楼 0 我想说……你传过来的东西……在我这儿win7下运行一切正常……
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-22 18:25 13 楼 0 感谢各位的热心帮助，是我的IAT大小取得不够大不过它能在本机正常运行，我就不明白是为啥了。
猫捉老虎雪币： 5 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 75 粉丝 0 关注私信	猫捉老虎 2017-2-27 08:10 14 楼 0 lynnDGK 也可能是反DUMP 我也遇到这个问题，还没解决。但是在本机是可以运行的，在别的电脑就不行。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (13)
lynnDGK 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	lynnDGK 2010-3-21 10:40 2 楼 0 也可能是反DUMP
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-21 11:05 3 楼 0 你怎么脱的壳？我以前也遇到过同样的问题，当时是因为在代码中直接call了API的地址，而另一个系统中的dll可能装入内存位置不同，所以就当掉了。如果本机能运行的话我觉得应该不是IAT的问题……或者是你试过拷贝到多台机子上试试么，是不是除了本机都不能运行。
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-21 11:20 4 楼 0 哦，能详细讲讲你当时怎么处理的吗？其它机器都不能运行
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-21 11:27 5 楼 0 不好意思我当时不是脱壳，而是patch一个exe，然后出现了那个问题，仅仅是在导入表中把所用到的函数加上就可以了。你试试用lordpe之类的软件查看一下导入表是否正常，然后再在其他机子上调试一下，看看在哪里出的问题吧，我能想到的就这么多了……
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-21 11:42 6 楼 0 麻烦您看下这些东西正常吗？我对这不太熟
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-21 12:33 7 楼 0 还有输出表？是个dll哈…iat表是空的，这个不太对劲啊……哦晕，不懂pe结构的话这个比较难办……你最好还是请别人给你脱这个壳吧……我脱壳的经验也比较少
skypismire 雪币： 75 活跃值： (418) 能力值： ( LV6，RANK：90 ) 在线值：发帖 96 回帖 706 粉丝 1 关注私信	skypismire 1 2010-3-21 15:43 8 楼 0 楼主你能不能把软件传上来，大家都可以帮你看看，你贴的这个图，也看不出什么名堂
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-21 16:07 9 楼 0 呵呵，谢谢，可能原来处理有问题，现在可以了
skypismire 雪币： 75 活跃值： (418) 能力值： ( LV6，RANK：90 ) 在线值：发帖 96 回帖 706 粉丝 1 关注私信	skypismire 1 2010-3-21 17:57 10 楼 0 你的这个，在我机器上运行没问题
ryanxgyang 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ryanxgyang 2010-3-22 10:38 11 楼 0 楼主是怎么得到IAT的? 我之前遇到过类似的问题,在XP下运行可以,Vista下就出现问题了. 因为: Windows Vista提供了一个名为地址空间布局随机化(Address Space Layout Randomization ASLR)的新特性.该特性允许windows在第一次载入一个DLL时,为它选择一个不同的基址. 地址空间布局随机化的目的就是为了让黑客们更难以发现常用系统DLL的地址,以此来避免其中的代码被恶意软件利用. 所以: 同一只API的地址,在每次加载到内存后,地址可能不同. 希望对楼主有用.
AmaranthF 雪币： 55 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 199 粉丝 0 关注私信	AmaranthF 2010-3-22 11:13 12 楼 0 我想说……你传过来的东西……在我这儿win7下运行一切正常……
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 2010-3-22 18:25 13 楼 0 感谢各位的热心帮助，是我的IAT大小取得不够大不过它能在本机正常运行，我就不明白是为啥了。
猫捉老虎雪币： 5 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 75 粉丝 0 关注私信	猫捉老虎 2017-2-27 08:10 14 楼 0 lynnDGK 也可能是反DUMP 我也遇到这个问题，还没解决。但是在本机是可以运行的，在别的电脑就不行。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复