-
-
[求助]IAT修复的学习问题
-
发表于: 2010-12-7 21:53
-
正在学习脱壳,学习到IAT修复,遇到问题。。请问大大以下是kernel32.dll的什么函数(一共有8个,每一小段代表一个):1.
0099C9B8 push ebp
0099C9B9 mov ebp,esp
0099C9BB mov eax,[ebp+8]
0099C9BE test eax,eax
0099C9C0 jnz short 0099C9C9
0099C9C2 mov eax,[9A3560] // DWORD value: 00400000
0099C9C7 jmp short 0099C9CF
0099C9C9 push eax
0099C9CA call 00994478 // = kernel32.dll/0177/GetModuleHandleA
0099C9CF pop ebp
0099C9D0 retn 4
2.
0099CA18 push 0
0099CA1A call 00994478 // = kernel32.dll/0177/GetModuleHandleA
0099CA1F push dword ptr [9A3650] // DWORD value: 00151EE0
0099CA25 pop eax
0099CA26 retn
3.
0099CA28 push ebp
0099CA29 mov ebp,esp
0099CA2B call 00994448 // = kernel32.dll/013C/GetCurrentProcess
0099CA30 mov eax,[ebp+8]
0099CA33 pop ebp
0099CA34 retn 4
4.
0099C9D4 push 0
0099C9D6 call 00994478 // = kernel32.dll/0177/GetModuleHandleA
0099C9DB push dword ptr [9A3640] // DWORD value: 0A280105
0099C9E1 pop eax
0099C9E2 retn
5.
0099C574 push ebp
0099C575 mov ebp,esp
0099C577 mov edx,[ebp+C]
0099C57A mov eax,[ebp+8]
0099C57D cmp eax,[9A20BC] // DWORD value: FFFFFFFF
0099C583 jnz short 0099C58E
0099C585 mov eax,[edx*4+9A221C] // DWORD value: 00000000
0099C58C jmp short 0099C595
0099C58E push edx
0099C58F push eax
0099C590 call 00994480 // = kernel32.dll/0199/GetProcAddress
0099C595 pop ebp
0099C596 retn 8
6.
0099CA0C call 00994490 // = kernel32.dll/01DE/GetVersion
0099CA11 mov eax,[9A364C] // DWORD value: 000006BC
0099CA16 retn
7.
0099CA04 mov eax,[9A3644] // DWORD value: FFFFFFFF
0099CA09 retn
8.
0099CA38 push ebp
0099CA39 mov ebp,esp
0099CA3B call 00994490 // = kernel32.dll/01DE/GetVersion
0099CA40 pop ebp
0099CA41 retn 4
不会。。第一个是GetModuleHandleA吗?第二个是GetCommandLineA吗?之后的毫无头绪。。。
求大大帮忙 [培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
