FSG2.0脱壳后IAT的修复问题,请教-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-9 15:44 2 楼 0 期待ing~~~~~~~~~~~~~
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-6-9 16:28 3 楼 0 确定IAT偏移和大小《加密与解密2》P380
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-9 20:00 4 楼 0 最初由 fly 发布确定IAT偏移和大小《加密与解密2》P380 不行啊.兄弟.你看看我的操作不知道有什么问题吗,还是不行我是这样做的. 随便找个api函数.例如GetProcAddress bp GetProcAddress.断下后,确定该函数的入口地址.如40265f.然后dd 40265f.通过00之间的数据得到IAT大小只有18.比RECimport自动搜索的还小???? 帮忙看下到底怎么修复才能使dump的东东,正常运行呢,问题在那里呢? 谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-6-9 20:21 5 楼 0 RVA=000062E4 Size=00000240 004062E4 83 78 DA 77 F0 6B DA 77 E7 EB DA 77 1B C4 DC 77 004062F4 BB D5 DC 77 FF FF FF FF 82 9A EF 77 A2 58 EF 77 00406304 0C D1 EF 77 A0 59 EF 77 12 34 F2 77 B1 5B F0 77 00406314 A6 6C EF 77 A6 6A F0 77 B9 45 F2 77 23 59 F0 77 00406324 33 C3 EF 77 80 AD F1 77 32 35 F2 77 0B 5D EF 77 00406334 F7 A8 EF 77 21 A8 EF 77 B6 E3 F0 77 5F E4 F0 77 00406344 95 81 EF 77 55 CE EF 77 C4 AC EF 77 3B 6A EF 77 00406354 F1 5F EF 77 FF FF FF 7F 93 8D 83 7C 5C E8 81 7C 00406364 08 93 83 7C 10 E6 85 7C 21 2E 82 7C 78 77 82 7C 00406374 50 94 83 7C B1 E2 81 7C BD 99 80 7C 88 2D 82 7C 00406384 2D FF 80 7C C1 C9 80 7C 4B 6F 82 7C 0C 6E 82 7C 00406394 29 B9 80 7C EE 1E 80 7C 29 B5 80 7C A2 CA 81 7C 004063A4 E0 C6 80 7C 11 03 81 7C 51 31 92 7C 79 EE 81 7C 004063B4 64 B6 80 7C 47 2D 82 7C B9 8F 83 7C 59 35 81 7C 004063C4 D7 EF 80 7C F4 97 80 7C 31 03 93 7C 24 1A 80 7C 004063D4 2F FE 80 7C 29 C7 80 7C 7E D4 80 7C 5D 99 80 7C 004063E4 8D 2C 81 7C 82 00 81 7C 18 94 83 7C 19 01 81 7C 004063F4 FF FF FF 7F 98 68 64 7D 32 22 63 7D 10 0E 61 7D 00406404 9C AE 5F 7D 32 81 68 7D A9 68 64 7D FF FF FF 7F 00406414 AD A8 D1 77 3D 02 D3 77 3E F1 D2 77 4F 02 D3 77 00406424 8B 14 D3 77 E8 0F D2 77 24 15 D3 77 70 DB D1 77 00406434 28 8E D1 77 0D D6 D1 77 5E 02 D2 77 3E 0B D2 77 00406444 E6 37 D2 77 9D 8F D1 77 F9 D7 D1 77 BA 0F D2 77 00406454 AE B6 D1 77 6C C9 D1 77 4A C9 D3 77 9D A1 D5 77 00406464 B3 C7 D3 77 71 BE D1 77 3C 21 D3 77 BF C2 D3 77 00406474 69 D8 D1 77 AF BA D2 77 C8 BD D1 77 76 BD D1 77 00406484 1E AC D6 77 E2 16 D2 77 8E 1A D3 77 43 F5 D2 77 00406494 61 C6 D3 77 F6 8B D1 77 B8 96 D1 77 42 10 D2 77 004064A4 EA DA D1 77 4C 1F D3 77 EA 04 D5 77 EE D4 D1 77 004064B4 2F EA D1 77 4B 15 D3 77 A4 D8 D1 77 50 62 D2 77 004064C4 95 47 D2 77 35 EE D3 77 24 13 D2 77 C7 86 D1 77 004064D4 9D 86 D1 77 58 BF D1 77 9A F3 D2 77 F0 BE D1 77 004064E4 85 CB D1 77 60 DA D1 77 F5 B5 D1 77 EC DB D1 77 004064F4 90 0F D2 77 27 BE D1 77 11 12 D2 77 9C FA D2 77 00406504 FF FF FF 7F 1E 31 32 76 89 C2 33 76 7C 86 33 76 00406514 B1 47 34 76 D8 7C 33 76 CE 00 33 76 33 25 32 76
只喝芬达的狗雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 60 粉丝 0 关注私信	只喝芬达的狗 2005-6-9 21:30 6 楼 0 我顺便问下 004062E4 77DA7883 ADVAPI32.RegQueryValueExA 004062E8 77DA6BF0 ADVAPI32.RegCloseKey …………省略 00406500 77D2FA9C USER32.TranslateAcceleratorA 00406504 7FFFFFFF 00406508 7632311E 0040650C 7633C289 00406510 7633867C 00406514 763447B1 00406518 76337CD8 0040651C 763300CE 00406520 76322533 00406524 7FFFFFFF //这里是结束地址,6524-62E4=240 00406528 68530000 0040652C 416C6C65 00406530 74756F62 00406534 00000041 00406538 67617244 0040653C 696E6946 00406540 00006873 00406544 72440000 00406548 75516761 0040654C 46797265 00406550 41656C69 00406554 00000000 //这里才是0,这里结束的话大小是270 可书上说的是“00”才是结束地址啊? 如果大小填270也可以修复成功，怎么回事?
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-9 22:21 7 楼 0 谢谢. 是不是RVA也是重新指定的,而不是RECimport自动搜索到的? 对了,有没什么文章推荐看下,看了加密与解密还不是很明白~~~~~~~~~~~~
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-6-9 23:52 8 楼 0 ImportRec如果无法获取正确值那就手动定位多看几遍就会明白的
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-10 01:03 9 楼 0 谢谢.FLY 真敬业,很快就答复大家的问题~~~~~~~~~~~ 佩服!
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-10 02:23 10 楼 0 最初由只喝芬达的狗发布我顺便问下 004062E4 77DA7883 ADVAPI32.RegQueryValueExA 004062E8 77DA6BF0 ADVAPI32.RegCloseKey ........ 我也不知道...................~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-9 15:44 2 楼 0 期待ing~~~~~~~~~~~~~
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-6-9 16:28 3 楼 0 确定IAT偏移和大小《加密与解密2》P380
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-9 20:00 4 楼 0 最初由 fly 发布确定IAT偏移和大小《加密与解密2》P380 不行啊.兄弟.你看看我的操作不知道有什么问题吗,还是不行我是这样做的. 随便找个api函数.例如GetProcAddress bp GetProcAddress.断下后,确定该函数的入口地址.如40265f.然后dd 40265f.通过00之间的数据得到IAT大小只有18.比RECimport自动搜索的还小???? 帮忙看下到底怎么修复才能使dump的东东,正常运行呢,问题在那里呢? 谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-6-9 20:21 5 楼 0 RVA=000062E4 Size=00000240 004062E4 83 78 DA 77 F0 6B DA 77 E7 EB DA 77 1B C4 DC 77 004062F4 BB D5 DC 77 FF FF FF FF 82 9A EF 77 A2 58 EF 77 00406304 0C D1 EF 77 A0 59 EF 77 12 34 F2 77 B1 5B F0 77 00406314 A6 6C EF 77 A6 6A F0 77 B9 45 F2 77 23 59 F0 77 00406324 33 C3 EF 77 80 AD F1 77 32 35 F2 77 0B 5D EF 77 00406334 F7 A8 EF 77 21 A8 EF 77 B6 E3 F0 77 5F E4 F0 77 00406344 95 81 EF 77 55 CE EF 77 C4 AC EF 77 3B 6A EF 77 00406354 F1 5F EF 77 FF FF FF 7F 93 8D 83 7C 5C E8 81 7C 00406364 08 93 83 7C 10 E6 85 7C 21 2E 82 7C 78 77 82 7C 00406374 50 94 83 7C B1 E2 81 7C BD 99 80 7C 88 2D 82 7C 00406384 2D FF 80 7C C1 C9 80 7C 4B 6F 82 7C 0C 6E 82 7C 00406394 29 B9 80 7C EE 1E 80 7C 29 B5 80 7C A2 CA 81 7C 004063A4 E0 C6 80 7C 11 03 81 7C 51 31 92 7C 79 EE 81 7C 004063B4 64 B6 80 7C 47 2D 82 7C B9 8F 83 7C 59 35 81 7C 004063C4 D7 EF 80 7C F4 97 80 7C 31 03 93 7C 24 1A 80 7C 004063D4 2F FE 80 7C 29 C7 80 7C 7E D4 80 7C 5D 99 80 7C 004063E4 8D 2C 81 7C 82 00 81 7C 18 94 83 7C 19 01 81 7C 004063F4 FF FF FF 7F 98 68 64 7D 32 22 63 7D 10 0E 61 7D 00406404 9C AE 5F 7D 32 81 68 7D A9 68 64 7D FF FF FF 7F 00406414 AD A8 D1 77 3D 02 D3 77 3E F1 D2 77 4F 02 D3 77 00406424 8B 14 D3 77 E8 0F D2 77 24 15 D3 77 70 DB D1 77 00406434 28 8E D1 77 0D D6 D1 77 5E 02 D2 77 3E 0B D2 77 00406444 E6 37 D2 77 9D 8F D1 77 F9 D7 D1 77 BA 0F D2 77 00406454 AE B6 D1 77 6C C9 D1 77 4A C9 D3 77 9D A1 D5 77 00406464 B3 C7 D3 77 71 BE D1 77 3C 21 D3 77 BF C2 D3 77 00406474 69 D8 D1 77 AF BA D2 77 C8 BD D1 77 76 BD D1 77 00406484 1E AC D6 77 E2 16 D2 77 8E 1A D3 77 43 F5 D2 77 00406494 61 C6 D3 77 F6 8B D1 77 B8 96 D1 77 42 10 D2 77 004064A4 EA DA D1 77 4C 1F D3 77 EA 04 D5 77 EE D4 D1 77 004064B4 2F EA D1 77 4B 15 D3 77 A4 D8 D1 77 50 62 D2 77 004064C4 95 47 D2 77 35 EE D3 77 24 13 D2 77 C7 86 D1 77 004064D4 9D 86 D1 77 58 BF D1 77 9A F3 D2 77 F0 BE D1 77 004064E4 85 CB D1 77 60 DA D1 77 F5 B5 D1 77 EC DB D1 77 004064F4 90 0F D2 77 27 BE D1 77 11 12 D2 77 9C FA D2 77 00406504 FF FF FF 7F 1E 31 32 76 89 C2 33 76 7C 86 33 76 00406514 B1 47 34 76 D8 7C 33 76 CE 00 33 76 33 25 32 76
只喝芬达的狗雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 60 粉丝 0 关注私信	只喝芬达的狗 2005-6-9 21:30 6 楼 0 我顺便问下 004062E4 77DA7883 ADVAPI32.RegQueryValueExA 004062E8 77DA6BF0 ADVAPI32.RegCloseKey …………省略 00406500 77D2FA9C USER32.TranslateAcceleratorA 00406504 7FFFFFFF 00406508 7632311E 0040650C 7633C289 00406510 7633867C 00406514 763447B1 00406518 76337CD8 0040651C 763300CE 00406520 76322533 00406524 7FFFFFFF //这里是结束地址,6524-62E4=240 00406528 68530000 0040652C 416C6C65 00406530 74756F62 00406534 00000041 00406538 67617244 0040653C 696E6946 00406540 00006873 00406544 72440000 00406548 75516761 0040654C 46797265 00406550 41656C69 00406554 00000000 //这里才是0,这里结束的话大小是270 可书上说的是“00”才是结束地址啊? 如果大小填270也可以修复成功，怎么回事?
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-9 22:21 7 楼 0 谢谢. 是不是RVA也是重新指定的,而不是RECimport自动搜索到的? 对了,有没什么文章推荐看下,看了加密与解密还不是很明白~~~~~~~~~~~~
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2005-6-9 23:52 8 楼 0 ImportRec如果无法获取正确值那就手动定位多看几遍就会明白的
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-10 01:03 9 楼 0 谢谢.FLY 真敬业,很快就答复大家的问题~~~~~~~~~~~ 佩服!
911xx 雪币： 508 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	911xx 2005-6-10 02:23 10 楼 0 最初由只喝芬达的狗发布我顺便问下 004062E4 77DA7883 ADVAPI32.RegQueryValueExA 004062E8 77DA6BF0 ADVAPI32.RegCloseKey ........ 我也不知道...................~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复