期待ing~~~~~~~~~~~~~

确定IAT偏移和大小
《加密与解密2》P380

最初由 fly 发布
确定IAT偏移和大小
《加密与解密2》P380

不行啊.兄弟.你看看我的操作不知道有什么问题吗,还是不行
我是这样做的.
随便找个api函数.例如GetProcAddress
bp GetProcAddress.断下后,确定该函数的入口地址.如40265f.然后dd 40265f.通过00之间的数据得到IAT大小只有18.比RECimport自动搜索的还小????

帮忙看下到底怎么修复才能使dump的东东,正常运行呢,问题在那里呢?
谢谢

RVA=000062E4
Size=00000240

004062E4   83 78 DA 77 F0 6B DA 77 E7 EB DA 77 1B C4 DC 77
004062F4   BB D5 DC 77 FF FF FF FF 82 9A EF 77 A2 58 EF 77
00406304   0C D1 EF 77 A0 59 EF 77 12 34 F2 77 B1 5B F0 77
00406314   A6 6C EF 77 A6 6A F0 77 B9 45 F2 77 23 59 F0 77
00406324   33 C3 EF 77 80 AD F1 77 32 35 F2 77 0B 5D EF 77
00406334   F7 A8 EF 77 21 A8 EF 77 B6 E3 F0 77 5F E4 F0 77
00406344   95 81 EF 77 55 CE EF 77 C4 AC EF 77 3B 6A EF 77
00406354   F1 5F EF 77 FF FF FF 7F 93 8D 83 7C 5C E8 81 7C
00406364   08 93 83 7C 10 E6 85 7C 21 2E 82 7C 78 77 82 7C
00406374   50 94 83 7C B1 E2 81 7C BD 99 80 7C 88 2D 82 7C
00406384   2D FF 80 7C C1 C9 80 7C 4B 6F 82 7C 0C 6E 82 7C
00406394   29 B9 80 7C EE 1E 80 7C 29 B5 80 7C A2 CA 81 7C
004063A4   E0 C6 80 7C 11 03 81 7C 51 31 92 7C 79 EE 81 7C
004063B4   64 B6 80 7C 47 2D 82 7C B9 8F 83 7C 59 35 81 7C
004063C4   D7 EF 80 7C F4 97 80 7C 31 03 93 7C 24 1A 80 7C
004063D4   2F FE 80 7C 29 C7 80 7C 7E D4 80 7C 5D 99 80 7C
004063E4   8D 2C 81 7C 82 00 81 7C 18 94 83 7C 19 01 81 7C
004063F4   FF FF FF 7F 98 68 64 7D 32 22 63 7D 10 0E 61 7D
00406404   9C AE 5F 7D 32 81 68 7D A9 68 64 7D FF FF FF 7F
00406414   AD A8 D1 77 3D 02 D3 77 3E F1 D2 77 4F 02 D3 77
00406424   8B 14 D3 77 E8 0F D2 77 24 15 D3 77 70 DB D1 77
00406434   28 8E D1 77 0D D6 D1 77 5E 02 D2 77 3E 0B D2 77
00406444   E6 37 D2 77 9D 8F D1 77 F9 D7 D1 77 BA 0F D2 77
00406454   AE B6 D1 77 6C C9 D1 77 4A C9 D3 77 9D A1 D5 77
00406464   B3 C7 D3 77 71 BE D1 77 3C 21 D3 77 BF C2 D3 77
00406474   69 D8 D1 77 AF BA D2 77 C8 BD D1 77 76 BD D1 77
00406484   1E AC D6 77 E2 16 D2 77 8E 1A D3 77 43 F5 D2 77
00406494   61 C6 D3 77 F6 8B D1 77 B8 96 D1 77 42 10 D2 77
004064A4   EA DA D1 77 4C 1F D3 77 EA 04 D5 77 EE D4 D1 77
004064B4   2F EA D1 77 4B 15 D3 77 A4 D8 D1 77 50 62 D2 77
004064C4   95 47 D2 77 35 EE D3 77 24 13 D2 77 C7 86 D1 77
004064D4   9D 86 D1 77 58 BF D1 77 9A F3 D2 77 F0 BE D1 77
004064E4   85 CB D1 77 60 DA D1 77 F5 B5 D1 77 EC DB D1 77
004064F4   90 0F D2 77 27 BE D1 77 11 12 D2 77 9C FA D2 77
00406504   FF FF FF 7F 1E 31 32 76 89 C2 33 76 7C 86 33 76
00406514   B1 47 34 76 D8 7C 33 76 CE 00 33 76 33 25 32 76

我顺便问下

004062E4  77DA7883  ADVAPI32.RegQueryValueExA
004062E8  77DA6BF0  ADVAPI32.RegCloseKey

…………省略

00406500  77D2FA9C  USER32.TranslateAcceleratorA
00406504  7FFFFFFF
00406508  7632311E
0040650C  7633C289
00406510  7633867C
00406514  763447B1
00406518  76337CD8
0040651C  763300CE
00406520  76322533
00406524  7FFFFFFF          //这里是结束地址,6524-62E4=240
00406528  68530000
0040652C  416C6C65
00406530  74756F62
00406534  00000041
00406538  67617244
0040653C  696E6946
00406540  00006873
00406544  72440000
00406548  75516761
0040654C  46797265
00406550  41656C69
00406554  00000000          //这里才是0,这里结束的话大小是270

可书上说的是“00”才是结束地址啊?

如果大小填270也可以修复成功，怎么回事?

谢谢.
是不是RVA也是重新指定的,而不是RECimport自动搜索到的?
对了,有没什么文章推荐看下,看了加密与解密还不是很明白~~~~~~~~~~~~

ImportRec如果无法获取正确值
那就手动定位
多看几遍就会明白的

谢谢.FLY 真敬业,很快就答复大家的问题~~~~~~~~~~~ 佩服!

最初由 只喝芬达的狗 发布
我顺便问下

004062E4 77DA7883 ADVAPI32.RegQueryValueExA
004062E8 77DA6BF0 ADVAPI32.RegCloseKey

........

我也不知道...................~