首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]想跟踪IAT的填充过程
发表于: 2010-8-18 20:21 4692

[求助]想跟踪IAT的填充过程

whxright 活跃值
2010-8-18 20:21
4692
bp GetProcAddress,重新载入,没停下来;
找到IAT内存写入断点,硬件写入断点,没停下来;
修改一个些关键IAT项等着他修复,直接崩了;
以上3方法都无效,各位客官给点思路吧,
领导说为OD跟不到是因在CreateProc这个函数中已经填充了IAT返回到OD的时候已经填完了,我跟着的感觉也是这样,怎样能断,怎样能断.....

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
justlovemm
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
bp GetProcAddress+n
2010-8-18 21:08
0
programfan
雪    币: 998
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
创建进程的时候就填了。
ntdll!NtCreateThread -> ntdll!LdrpWalkImportDescriptor -> ntdll!LdrpSnapIAT
2010-8-18 21:26
0
jackwen
雪    币: 213
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
he GetProcAddress试试
2010-8-19 10:02
0
whxright
雪    币: 38
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
he 是啥意思啊
2010-8-19 10:42
0
whxright
雪    币: 38
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
是啊 怎么才能在ntdll!LdrpWalkImportDescriptor这里断下呢
2010-8-19 10:43
0
whxright
雪    币: 38
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
+n 是啥意思..
2010-8-19 10:44
0
Ditans
雪    币: 357
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
用Windbg双机调试,或调试虚拟机,那你就能跟进去了。

OD调试加壳软件的第二次填充IAT还差不多,之前的恐怕是不行了。
2010-8-19 11:03
0
whxright
雪    币: 38
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
好的我去试试
2010-8-19 11:16
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//