[求助]ImportREC 1.6英文版如何修复乱序的IAT-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2 楼可以试试UIF h x x p://magic.shabgard.org/UIF.zip?Reload 2010-10-27 08:05 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 3 楼多谢！好像是个命令行工具。有时间试试看。刚刚尝试了一下（拖了N久时间）发现UIF的确可以在内存中修复乱序的IAT。其会在目标程序空间重新申请一块儿高端内存，然后把IAT地址列表全部写在里面。但是OD貌似无法再在UIF修复后Dump出所有的内存镜像（新地址太高了）。我用的是OD右键菜单里面的插件脱壳在当前调试的进程所以再用ImportREC修复，直接提示输入地址表问题：抓取的文件无效！此抓取的文件不符合RVA值偏移而用OD右键菜单另一个Dump方式Make dump of process 不知道为什么MZ头，PE头，头两个节都是全零。 2010-10-27 08:29 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 4 楼每个壳都有对应的修复乱序的吧 2010-10-27 10:15 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 5 楼私壳呢？只能自己写专门的脚本修复？ 2010-10-28 00:38 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 6 楼我遇到过个什么壳，它是把不同DLL中间隔开的那个DWORD的0填写为一个指向本模块的函数地址指针。这样也没法用ImportREC直接修复，我就只好把这几个函数地址指针改成0修复掉，再修改程序入口先执行将那几个函数地址指针还原的代码，最后jmp回原程序入口。我估计LZ这个也没其他什么好方法。 2010-10-28 10:53 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 7 楼我面临的这个私壳就是乱序。几个DLL的API地址相互之间乱插而已。所以之间并没有全零Dword的隔断。自己感觉手工编辑IAT也能修复。但是如果已经有好用的工具，那不省事多了。 2010-11-11 07:29 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 8 楼刚刚尝试了一下（拖了N久时间）发现UIF的确可以在内存中修复乱序的IAT。其会在目标程序空间重新申请一块儿高端内存，然后把IAT地址列表全部写在里面。但是OD貌似无法再在UIF修复后Dump出所有的内存镜像（新地址太高了）。我用的是OD右键菜单里面的插件脱壳在当前调试的进程所以再用ImportREC修复，直接提示输入地址表问题：抓取的文件无效！此抓取的文件不符合RVA值偏移而用OD右键菜单另一个Dump方式Make dump of process 不知道为什么MZ头，PE头，头两个节都是全零。 =================================================== 基本上搞定了。原来UIF需要手工指定IAT的VA。如果不填，就会默认申请新内存空间，并把IAT放进去。这样OD就没法Dump了。我尝试让UIF覆盖了原来的IAT地址。现在用 OD dump出来的文件虽然还是无法运行（异常），但是用IDA分析已经可以了。所有相关的API都能自动识别出来。基本上算是达到了目的。希望能继续找出异常的原因。争取让脱壳的文件也能跑。 2010-11-11 07:36 0
xxhaishixx 雪币： 89 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 85 粉丝 0 关注私信	xxhaishixx 9 楼用K大的人肉流（一个一个手动填补），相信会成功~时间就是太久了。呵呵……不过方便你自己学习 2010-11-26 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2 楼可以试试UIF h x x p://magic.shabgard.org/UIF.zip?Reload 2010-10-27 08:05 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 3 楼多谢！好像是个命令行工具。有时间试试看。刚刚尝试了一下（拖了N久时间）发现UIF的确可以在内存中修复乱序的IAT。其会在目标程序空间重新申请一块儿高端内存，然后把IAT地址列表全部写在里面。但是OD貌似无法再在UIF修复后Dump出所有的内存镜像（新地址太高了）。我用的是OD右键菜单里面的插件脱壳在当前调试的进程所以再用ImportREC修复，直接提示输入地址表问题：抓取的文件无效！此抓取的文件不符合RVA值偏移而用OD右键菜单另一个Dump方式Make dump of process 不知道为什么MZ头，PE头，头两个节都是全零。 2010-10-27 08:29 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 4 楼每个壳都有对应的修复乱序的吧 2010-10-27 10:15 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 5 楼私壳呢？只能自己写专门的脚本修复？ 2010-10-28 00:38 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 6 楼我遇到过个什么壳，它是把不同DLL中间隔开的那个DWORD的0填写为一个指向本模块的函数地址指针。这样也没法用ImportREC直接修复，我就只好把这几个函数地址指针改成0修复掉，再修改程序入口先执行将那几个函数地址指针还原的代码，最后jmp回原程序入口。我估计LZ这个也没其他什么好方法。 2010-10-28 10:53 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 7 楼我面临的这个私壳就是乱序。几个DLL的API地址相互之间乱插而已。所以之间并没有全零Dword的隔断。自己感觉手工编辑IAT也能修复。但是如果已经有好用的工具，那不省事多了。 2010-11-11 07:29 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 8 楼刚刚尝试了一下（拖了N久时间）发现UIF的确可以在内存中修复乱序的IAT。其会在目标程序空间重新申请一块儿高端内存，然后把IAT地址列表全部写在里面。但是OD貌似无法再在UIF修复后Dump出所有的内存镜像（新地址太高了）。我用的是OD右键菜单里面的插件脱壳在当前调试的进程所以再用ImportREC修复，直接提示输入地址表问题：抓取的文件无效！此抓取的文件不符合RVA值偏移而用OD右键菜单另一个Dump方式Make dump of process 不知道为什么MZ头，PE头，头两个节都是全零。 =================================================== 基本上搞定了。原来UIF需要手工指定IAT的VA。如果不填，就会默认申请新内存空间，并把IAT放进去。这样OD就没法Dump了。我尝试让UIF覆盖了原来的IAT地址。现在用 OD dump出来的文件虽然还是无法运行（异常），但是用IDA分析已经可以了。所有相关的API都能自动识别出来。基本上算是达到了目的。希望能继续找出异常的原因。争取让脱壳的文件也能跑。 2010-11-11 07:36 0
xxhaishixx 雪币： 89 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 85 粉丝 0 关注私信	xxhaishixx 9 楼用K大的人肉流（一个一个手动填补），相信会成功~时间就是太久了。呵呵……不过方便你自己学习 2010-11-26 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]ImportREC 1.6英文版 如何 修复 乱序的IAT

[求助]ImportREC 1.6英文版如何修复乱序的IAT