能力值:
( LV5,RANK:70 )
|
-
-
2 楼
要看你处理的是什么样的壳啊,还有要看那个IAT有没有被加密!
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
-----------------是upx壳----------------------
|
能力值:
( LV5,RANK:70 )
|
-
-
4 楼
UPX壳 - -.一般来说他不会加密或者破坏IAT表的,你直接用那个工具.自动搜索然后 获取函数就行了.
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
自动搜索后会显示无效函数,关键无法自动修复!在OllDbg内存中IAT表中的数据显示有问题,一块IAT中的函数所在的DLL名字应该是一样的,但是其中几个不是那个正确的名字,需要修复,我想问的就是怎样去修复?不知道你碰到过这样的情况没?我截图了,关键是找到正确的函数
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
可能是有马吧
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
什么马?木马吗?有时候又是好的!!应该不会吧
|
能力值:
( LV3,RANK:20 )
|
-
-
8 楼
你给的那张图很明显是一个IAT hook,而且你没有说你的程序崩溃了,应该是注入后正常工作了。至于为什么不是每次都有,那我就不清楚了,毕竟我不是写马的。
挂钩那个API能得到程序中的大部分的字符串,估计是用了偷帐号吧。
|
能力值:
( LV3,RANK:20 )
|
-
-
9 楼
upx没有加密IAT,cut掉试试
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
谢谢你的解答!
|
能力值:
( LV5,RANK:70 )
|
-
-
11 楼
但是UPX壳的话是绝对没有也不会去加密IAT的,.你直接CUT就行了.如果CUT掉以后出现什么了程序不能运行的情况,那么检查一下函数中出现的那个地址是不是被什么HOOK了的函数,但是一般来说,加密壳才有..你这UPX不可能有的啊,如果真有.你把你的程序发上来,我们看看!
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
应该是中马了,去掉了就好了!那个DLL的确是导出了2个HOOK
|
|
|