[求助]重建输入表找不到iat偏移-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]重建输入表找不到iat偏移 0.00雪花

发表于: 2011-8-6 18:18 1424

[旧帖] [求助]重建输入表找不到iat偏移 0.00雪花

pdx

2011-8-6 18:18

1424

想脱一壳,是dos程序,cmd里运行后会显示程序的帮助并退出
od里alt+m显示:.vmp0,.vmp1
查了一些vmp的资料,
于是载入后,ctrl+g输入VirtualProtect,f2,
f9若干次后栈里显示NewProtect=PAGE_READONLY,Address=438000
于是ctrl+g输入430000,ctrl+b输入55 8b ec 6a ff(vc6.0入口特征代码)
查找到4307a0为oep
f4到这里(我也不确定这样找oep的方法是不是正确)
具体代码:
push ebp
mov ebp,esp
push -1
......
用lordPE抓下来(cmd下运行dump.exe会崩溃,若cmd里运行用ollydump抓下来的程序会运行一下什么都不显示并退出)
可能是输入表的问题吧
ImportREC好象不行,在自动搜索IAT偏移的时候会提示:无效的OEP值!不能与进程相匹配!
手工找IAT,书上说是要找调用api的语句,
可是似乎没有那种类似于call dword ptr [405028];kernel32.GetVersion
或是通过call转到一个jmp的语句
最后没找到iat偏移...
搜索vmp iat似乎也没有找到什么资料
本人小白,希望得到大家的指导~

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (2)
supertyj 雪币： 1121 活跃值： (652) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 238 粉丝 2 关注私信	supertyj 1 2 楼要我，查壳看见Themida和vmp就直接放弃了。 2011-8-6 21:34 0
pdx 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 96 粉丝 0 关注私信	pdx 3 楼我用VMProtect API Turbo Tracer 1.2这个脚本貌似又找到了一个oep:41f586 估计这个才是真正的oep吧,od里还显示OEP or near OEP! 然后脚本执行完了,显示Script Finished!Now add the API Calc section and set all necessary sections to writeable! 这是什么意思?如何理解把API Calc section加到dump好的文件里? 硬盘上多出的几个文件是:_API_TRACER.txt,_SYSTEM_APIS.txt, API_CALC-[30F0000]_New-VA_2CF0000.mem 谢谢~ 2011-8-7 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pdx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
supertyj 雪币： 1121 活跃值： (652) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 238 粉丝 2 关注私信	supertyj 1 2 楼要我，查壳看见Themida和vmp就直接放弃了。 2011-8-6 21:34 0
pdx 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 96 粉丝 0 关注私信	pdx 3 楼我用VMProtect API Turbo Tracer 1.2这个脚本貌似又找到了一个oep:41f586 估计这个才是真正的oep吧,od里还显示OEP or near OEP! 然后脚本执行完了,显示Script Finished!Now add the API Calc section and set all necessary sections to writeable! 这是什么意思?如何理解把API Calc section加到dump好的文件里? 硬盘上多出的几个文件是:_API_TRACER.txt,_SYSTEM_APIS.txt, API_CALC-[30F0000]_New-VA_2CF0000.mem 谢谢~ 2011-8-7 14:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复