-
-
[求助]关于脱壳的2个问题
-
发表于:
2012-8-8 17:37
3723
-
请问下,
1,脱壳后,如下的代码
0040101A $- FF25 08204000 jmp dword ptr [402008]
00401020 .- FF25 00204000 jmp dword ptr [402000]
402008,402000本来是输入表那个FirstThunk指向的指针数组,但是被加密之后,[402008]指向的是一个转换的代码,我把[402008]的内容直接改为原来本来的api的地址,不能运行,应该是不能jmp到内核的地址,然后我用工具修改后可以运行的,看到他显示的是
0040101A $- FF25 08204000 jmp dword ptr [<&user32.MessageBoxA>] ; user32.MessageBoxA
00401020 .- FF25 00204000 jmp dword ptr [<&kernel32.ExitProcess>] ; kernel32.ExitProcess
不明白代码是什么意思,还有如果手动修复应该怎么办呢
2,脱壳的修复是不是只需要把那些函数的指针改过来就行了,其他的比如dll的名字,和其他比如包含的IMAGE_THUNK_DATA之类的,被壳抹去了不修复可以吗,好像哪里看过说输入表最重要的只是那个数组。
[课程]Android-CTF解题方法汇总!
