关于跳转表的来龙去脉？？？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
shuax 雪币： 1886 活跃值： (1881) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 2 楼 IAT？应该有很多代码吧。 2011-5-25 19:55 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 3 楼是跳转表饿！！！谁知道跳转表的生成过程呀！！！我只知道PE加载程序，然后读取INT，通过类似GetProcAddress 得到函数地址，写入IAT。那么这种跳转表是怎么生成的呢！怎么确定生成在程序的那里呢！！！！ 2011-5-25 20:31 0
pianoid 雪币： 214 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	pianoid 4 楼这都啥跟啥嘛，全是jmp就叫跳转表了？ 2011-5-25 20:38 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 5 楼那我想知道怎么得到这些jmp的首地址。。。 401146 40114C 这些地址在文件中是有存在的。比dos头+3c 是PE头。但我不知道在文件中这些值的偏移是怎么来的。。。。 2011-5-25 20:54 0
ljjz 雪币： 161 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	ljjz 6 楼 [QUOTE=酒色财气;962696]/401145/ int3 /401146/ jmp dword ptr ds:[<&USER32.CreateWindowExA>] /40114C/ jmp dword ptr ds:[<&USER32.DefWindowProcA>] /401152/ jmp d...[/QUOTE] 这是导入表，在PE头中可以得到地址 2011-5-25 21:08 0
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 7 楼那么这种跳转表是怎么生成的呢链接时怎么确定生成在程序的那里呢呢你找0x3c处的PE头一样,都可以根据PE结构定位到. ImageBase + IMAGE_IMPORT_DESCRIPTOR.FirstThunk 即可获取IAT表. 附一个偏移： http://bbs.pediy.com/upload/bbs/unpackfaq/ARTeam%20PE_appendix1_offsets.htm 2011-5-25 21:59 0
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 8 楼楼主问的是跳转表,而非IAT表? 该跳转表的生成和所用编译器有关. 一、(MASM默认) call [xxxx] ... xxxx: jmp [MessageBoxA] --> FF25 二、(VC6默认) call [MessageBoxA] --> FF15 如果是想获取 jmp [MessageBoxA] 这张表的话,不妨看一下ImportREC的方法. 2011-5-25 22:08 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 9 楼 [QUOTE=NiGHter;962737]楼主问的是跳转表,而非IAT表? 该跳转表的生成和所用编译器有关. 一、(MASM默认) call [xxxx] ... xxxx: jmp [MessageBoxA] --> FF25 二、(VC6默认) call [MessageBoxA] --> FF15 如...[/QUOTE] 对不是IAT 我想得到这个表的地址，请问下只能通过搜索的方式吗？ 2011-5-25 22:13 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 10 楼结帖了! 这些JMP访问的就是IAT在内存的地址。我自己糊涂了。 2011-5-26 06:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
shuax 雪币： 1886 活跃值： (1881) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 2 楼 IAT？应该有很多代码吧。 2011-5-25 19:55 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 3 楼是跳转表饿！！！谁知道跳转表的生成过程呀！！！我只知道PE加载程序，然后读取INT，通过类似GetProcAddress 得到函数地址，写入IAT。那么这种跳转表是怎么生成的呢！怎么确定生成在程序的那里呢！！！！ 2011-5-25 20:31 0
pianoid 雪币： 214 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	pianoid 4 楼这都啥跟啥嘛，全是jmp就叫跳转表了？ 2011-5-25 20:38 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 5 楼那我想知道怎么得到这些jmp的首地址。。。 401146 40114C 这些地址在文件中是有存在的。比dos头+3c 是PE头。但我不知道在文件中这些值的偏移是怎么来的。。。。 2011-5-25 20:54 0
ljjz 雪币： 161 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	ljjz 6 楼 [QUOTE=酒色财气;962696]/401145/ int3 /401146/ jmp dword ptr ds:[<&USER32.CreateWindowExA>] /40114C/ jmp dword ptr ds:[<&USER32.DefWindowProcA>] /401152/ jmp d...[/QUOTE] 这是导入表，在PE头中可以得到地址 2011-5-25 21:08 0
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 7 楼那么这种跳转表是怎么生成的呢链接时怎么确定生成在程序的那里呢呢你找0x3c处的PE头一样,都可以根据PE结构定位到. ImageBase + IMAGE_IMPORT_DESCRIPTOR.FirstThunk 即可获取IAT表. 附一个偏移： http://bbs.pediy.com/upload/bbs/unpackfaq/ARTeam%20PE_appendix1_offsets.htm 2011-5-25 21:59 0
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 8 楼楼主问的是跳转表,而非IAT表? 该跳转表的生成和所用编译器有关. 一、(MASM默认) call [xxxx] ... xxxx: jmp [MessageBoxA] --> FF25 二、(VC6默认) call [MessageBoxA] --> FF15 如果是想获取 jmp [MessageBoxA] 这张表的话,不妨看一下ImportREC的方法. 2011-5-25 22:08 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 9 楼 [QUOTE=NiGHter;962737]楼主问的是跳转表,而非IAT表? 该跳转表的生成和所用编译器有关. 一、(MASM默认) call [xxxx] ... xxxx: jmp [MessageBoxA] --> FF25 二、(VC6默认) call [MessageBoxA] --> FF15 如...[/QUOTE] 对不是IAT 我想得到这个表的地址，请问下只能通过搜索的方式吗？ 2011-5-25 22:13 0
酒色财气雪币： 206 活跃值： (86) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 140 粉丝 0 关注私信	酒色财气 2 10 楼结帖了! 这些JMP访问的就是IAT在内存的地址。我自己糊涂了。 2011-5-26 06:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复