[求助]IAT的修复-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 2 楼要看你处理的是什么样的壳啊,还有要看那个IAT有没有被加密! 2010-11-20 15:42 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 3 楼 -----------------是upx壳---------------------- 2010-11-20 17:06 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 4 楼 UPX壳 - -.一般来说他不会加密或者破坏IAT表的,你直接用那个工具.自动搜索然后获取函数就行了. 2010-11-20 17:49 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 5 楼自动搜索后会显示无效函数，关键无法自动修复！在OllDbg内存中IAT表中的数据显示有问题，一块IAT中的函数所在的DLL名字应该是一样的，但是其中几个不是那个正确的名字，需要修复，我想问的就是怎样去修复？不知道你碰到过这样的情况没？我截图了，关键是找到正确的函数上传的附件： 1.jpg （34.78kb，101次下载） 2010-11-20 18:55 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 6 楼可能是有马吧 2010-11-20 20:30 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 7 楼什么马？木马吗？有时候又是好的！！应该不会吧 2010-11-20 20:35 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼你给的那张图很明显是一个IAT hook，而且你没有说你的程序崩溃了，应该是注入后正常工作了。至于为什么不是每次都有，那我就不清楚了，毕竟我不是写马的。挂钩那个API能得到程序中的大部分的字符串，估计是用了偷帐号吧。 2010-11-20 20:43 0
dwboy 雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	dwboy 9 楼 upx没有加密IAT，cut掉试试 2010-11-20 21:21 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 10 楼谢谢你的解答！ 2010-11-20 22:04 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 11 楼但是UPX壳的话是绝对没有也不会去加密IAT的,.你直接CUT就行了.如果CUT掉以后出现什么了程序不能运行的情况,那么检查一下函数中出现的那个地址是不是被什么HOOK了的函数,但是一般来说,加密壳才有..你这UPX不可能有的啊,如果真有.你把你的程序发上来,我们看看! 2010-11-21 02:18 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 12 楼应该是中马了，去掉了就好了！那个DLL的确是导出了2个HOOK 2010-11-21 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 2 楼要看你处理的是什么样的壳啊,还有要看那个IAT有没有被加密! 2010-11-20 15:42 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 3 楼 -----------------是upx壳---------------------- 2010-11-20 17:06 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 4 楼 UPX壳 - -.一般来说他不会加密或者破坏IAT表的,你直接用那个工具.自动搜索然后获取函数就行了. 2010-11-20 17:49 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 5 楼自动搜索后会显示无效函数，关键无法自动修复！在OllDbg内存中IAT表中的数据显示有问题，一块IAT中的函数所在的DLL名字应该是一样的，但是其中几个不是那个正确的名字，需要修复，我想问的就是怎样去修复？不知道你碰到过这样的情况没？我截图了，关键是找到正确的函数上传的附件： 1.jpg （34.78kb，101次下载） 2010-11-20 18:55 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 6 楼可能是有马吧 2010-11-20 20:30 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 7 楼什么马？木马吗？有时候又是好的！！应该不会吧 2010-11-20 20:35 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼你给的那张图很明显是一个IAT hook，而且你没有说你的程序崩溃了，应该是注入后正常工作了。至于为什么不是每次都有，那我就不清楚了，毕竟我不是写马的。挂钩那个API能得到程序中的大部分的字符串，估计是用了偷帐号吧。 2010-11-20 20:43 0
dwboy 雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	dwboy 9 楼 upx没有加密IAT，cut掉试试 2010-11-20 21:21 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 10 楼谢谢你的解答！ 2010-11-20 22:04 0
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 11 楼但是UPX壳的话是绝对没有也不会去加密IAT的,.你直接CUT就行了.如果CUT掉以后出现什么了程序不能运行的情况,那么检查一下函数中出现的那个地址是不是被什么HOOK了的函数,但是一般来说,加密壳才有..你这UPX不可能有的啊,如果真有.你把你的程序发上来,我们看看! 2010-11-21 02:18 0
mccboy 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	mccboy 12 楼应该是中马了，去掉了就好了！那个DLL的确是导出了2个HOOK 2010-11-21 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复