[求助]谁能给解释一下Import REC的工作原理阿？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼搜索call/jmp dword ptr [xxxx] 找到取出xxxx向上找00000000，找到就是表首，向下也找，找到是表尾。 2005-2-19 11:20 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 3 楼斑竹大大，能否再详细点啊，我也好想知道 call/jmp [xxxx] 并不一定所有的xxxx都是在IAT里面，Import REC是如何做的呢？向下找到0000000为表尾我理解，但是为什么说向上找到00000000就是表首呢，没有规定表首要0开始阿，如果Import REC靠这点来确定表首的话那且不很容易anti 2005-2-19 13:14 0
kx001 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 70 粉丝 0 关注私信	kx001 4 楼脱壳中体会，一般IAT表都放在一起的，除非特殊情况，被打乱了，那就用追踪壳的打乱流程，写出修正代码。这种情况Import REC修复不了，很多猛壳都没办法用它直接获取IAT。只有手动修复 2005-2-20 10:39 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 5 楼确实是通过搜索CALL/JMP指令来定位IAT的，如果搜索IAT时填入错误的OEP或者在入口嵌入花指令，都可能导致Import REC搜索不到IAT 2005-2-20 13:36 0
tomricky 雪币： 234 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	tomricky 6 楼不错哈。我本来也想问这个问题的。却一直没有问。。。谢谢楼主帮我问了。 2005-2-21 15:40 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 7 楼看它的源代码，网上有下。Import REC lite 搜索一下就可以了 2005-2-21 16:32 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 8 楼最初由采臣・宁发布看它的源代码，网上有下。Import REC lite 搜索一下就可以了 Import REC官方： http://wave.prohosting.com/mackt/main.htm Generic Unpacker for Windows (GUW) This package contains full source code of it in asm and ImpREC dll src in C++ which contains the main engine, the IAT finder and the Tracer Level1 (TL1) 2005-2-21 17:33 0
eunt 雪币： 268 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	eunt 9 楼最初由 forgot 发布搜索call/jmp dword ptr [xxxx] 找到取出xxxx向上找00000000，找到就是表首，向下也找，找到是表尾。那么xxxx是谁完成的呢？是编译器吗？如果是这样那么是不是加壳跟不加壳的iat都在同一个位置上？ 2005-2-21 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼搜索call/jmp dword ptr [xxxx] 找到取出xxxx向上找00000000，找到就是表首，向下也找，找到是表尾。 2005-2-19 11:20 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 3 楼斑竹大大，能否再详细点啊，我也好想知道 call/jmp [xxxx] 并不一定所有的xxxx都是在IAT里面，Import REC是如何做的呢？向下找到0000000为表尾我理解，但是为什么说向上找到00000000就是表首呢，没有规定表首要0开始阿，如果Import REC靠这点来确定表首的话那且不很容易anti 2005-2-19 13:14 0
kx001 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 70 粉丝 0 关注私信	kx001 4 楼脱壳中体会，一般IAT表都放在一起的，除非特殊情况，被打乱了，那就用追踪壳的打乱流程，写出修正代码。这种情况Import REC修复不了，很多猛壳都没办法用它直接获取IAT。只有手动修复 2005-2-20 10:39 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 5 楼确实是通过搜索CALL/JMP指令来定位IAT的，如果搜索IAT时填入错误的OEP或者在入口嵌入花指令，都可能导致Import REC搜索不到IAT 2005-2-20 13:36 0
tomricky 雪币： 234 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	tomricky 6 楼不错哈。我本来也想问这个问题的。却一直没有问。。。谢谢楼主帮我问了。 2005-2-21 15:40 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 7 楼看它的源代码，网上有下。Import REC lite 搜索一下就可以了 2005-2-21 16:32 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 8 楼最初由采臣・宁发布看它的源代码，网上有下。Import REC lite 搜索一下就可以了 Import REC官方： http://wave.prohosting.com/mackt/main.htm Generic Unpacker for Windows (GUW) This package contains full source code of it in asm and ImpREC dll src in C++ which contains the main engine, the IAT finder and the Tracer Level1 (TL1) 2005-2-21 17:33 0
eunt 雪币： 268 活跃值： (159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	eunt 9 楼最初由 forgot 发布搜索call/jmp dword ptr [xxxx] 找到取出xxxx向上找00000000，找到就是表首，向下也找，找到是表尾。那么xxxx是谁完成的呢？是编译器吗？如果是这样那么是不是加壳跟不加壳的iat都在同一个位置上？ 2005-2-21 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复