脱壳修复IAT跨平台运行问题?（高分、速结）-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
lynnDGK 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	lynnDGK 2 楼也可能是反DUMP 2010-3-21 10:40 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 3 楼你怎么脱的壳？我以前也遇到过同样的问题，当时是因为在代码中直接call了API的地址，而另一个系统中的dll可能装入内存位置不同，所以就当掉了。如果本机能运行的话我觉得应该不是IAT的问题……或者是你试过拷贝到多台机子上试试么，是不是除了本机都不能运行。 2010-3-21 11:05 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 4 楼哦，能详细讲讲你当时怎么处理的吗？其它机器都不能运行 2010-3-21 11:20 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 5 楼不好意思我当时不是脱壳，而是patch一个exe，然后出现了那个问题，仅仅是在导入表中把所用到的函数加上就可以了。你试试用lordpe之类的软件查看一下导入表是否正常，然后再在其他机子上调试一下，看看在哪里出的问题吧，我能想到的就这么多了…… 2010-3-21 11:27 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 6 楼麻烦您看下这些东西正常吗？我对这不太熟 2010-3-21 11:42 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 7 楼还有输出表？是个dll哈…iat表是空的，这个不太对劲啊……哦晕，不懂pe结构的话这个比较难办……你最好还是请别人给你脱这个壳吧……我脱壳的经验也比较少 2010-3-21 12:33 0
skypismire 雪币： 75 活跃值： (793) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 705 粉丝 1 关注私信	skypismire 1 8 楼楼主你能不能把软件传上来，大家都可以帮你看看，你贴的这个图，也看不出什么名堂 2010-3-21 15:43 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 9 楼呵呵，谢谢，可能原来处理有问题，现在可以了 2010-3-21 16:07 0
skypismire 雪币： 75 活跃值： (793) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 705 粉丝 1 关注私信	skypismire 1 10 楼你的这个，在我机器上运行没问题 2010-3-21 17:57 0
ryanxgyang 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ryanxgyang 11 楼楼主是怎么得到IAT的? 我之前遇到过类似的问题,在XP下运行可以,Vista下就出现问题了. 因为: Windows Vista提供了一个名为地址空间布局随机化(Address Space Layout Randomization ASLR)的新特性.该特性允许windows在第一次载入一个DLL时,为它选择一个不同的基址. 地址空间布局随机化的目的就是为了让黑客们更难以发现常用系统DLL的地址,以此来避免其中的代码被恶意软件利用. 所以: 同一只API的地址,在每次加载到内存后,地址可能不同. 希望对楼主有用. 2010-3-22 10:38 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 12 楼我想说……你传过来的东西……在我这儿win7下运行一切正常…… 2010-3-22 11:13 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 13 楼感谢各位的热心帮助，是我的IAT大小取得不够大不过它能在本机正常运行，我就不明白是为啥了。 2010-3-22 18:25 0
猫捉老虎雪币： 5 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	猫捉老虎 14 楼 lynnDGK 也可能是反DUMP 我也遇到这个问题，还没解决。但是在本机是可以运行的，在别的电脑就不行。 2017-2-27 08:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
lynnDGK 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	lynnDGK 2 楼也可能是反DUMP 2010-3-21 10:40 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 3 楼你怎么脱的壳？我以前也遇到过同样的问题，当时是因为在代码中直接call了API的地址，而另一个系统中的dll可能装入内存位置不同，所以就当掉了。如果本机能运行的话我觉得应该不是IAT的问题……或者是你试过拷贝到多台机子上试试么，是不是除了本机都不能运行。 2010-3-21 11:05 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 4 楼哦，能详细讲讲你当时怎么处理的吗？其它机器都不能运行 2010-3-21 11:20 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 5 楼不好意思我当时不是脱壳，而是patch一个exe，然后出现了那个问题，仅仅是在导入表中把所用到的函数加上就可以了。你试试用lordpe之类的软件查看一下导入表是否正常，然后再在其他机子上调试一下，看看在哪里出的问题吧，我能想到的就这么多了…… 2010-3-21 11:27 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 6 楼麻烦您看下这些东西正常吗？我对这不太熟 2010-3-21 11:42 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 7 楼还有输出表？是个dll哈…iat表是空的，这个不太对劲啊……哦晕，不懂pe结构的话这个比较难办……你最好还是请别人给你脱这个壳吧……我脱壳的经验也比较少 2010-3-21 12:33 0
skypismire 雪币： 75 活跃值： (793) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 705 粉丝 1 关注私信	skypismire 1 8 楼楼主你能不能把软件传上来，大家都可以帮你看看，你贴的这个图，也看不出什么名堂 2010-3-21 15:43 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 9 楼呵呵，谢谢，可能原来处理有问题，现在可以了 2010-3-21 16:07 0
skypismire 雪币： 75 活跃值： (793) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 705 粉丝 1 关注私信	skypismire 1 10 楼你的这个，在我机器上运行没问题 2010-3-21 17:57 0
ryanxgyang 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	ryanxgyang 11 楼楼主是怎么得到IAT的? 我之前遇到过类似的问题,在XP下运行可以,Vista下就出现问题了. 因为: Windows Vista提供了一个名为地址空间布局随机化(Address Space Layout Randomization ASLR)的新特性.该特性允许windows在第一次载入一个DLL时,为它选择一个不同的基址. 地址空间布局随机化的目的就是为了让黑客们更难以发现常用系统DLL的地址,以此来避免其中的代码被恶意软件利用. 所以: 同一只API的地址,在每次加载到内存后,地址可能不同. 希望对楼主有用. 2010-3-22 10:38 0
AmaranthF 雪币： 45 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 200 粉丝 0 关注私信	AmaranthF 12 楼我想说……你传过来的东西……在我这儿win7下运行一切正常…… 2010-3-22 11:13 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 2 关注私信	tangjiutao 3 13 楼感谢各位的热心帮助，是我的IAT大小取得不够大不过它能在本机正常运行，我就不明白是为啥了。 2010-3-22 18:25 0
猫捉老虎雪币： 5 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	猫捉老虎 14 楼 lynnDGK 也可能是反DUMP 我也遇到这个问题，还没解决。但是在本机是可以运行的，在别的电脑就不行。 2017-2-27 08:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复