-
-
关于Armadillo 3.XX乱序IAT的修复的疑问
-
发表于:
2005-9-7 10:14
3825
-
关于Armadillo 3.XX乱序IAT的修复的疑问
引用某大虾的文章:
{
对Armadillo的脱壳还要看外文教程,这是国人的耻辱。其实国内的教程已经很多,
个人认为以tDasm脱壳教程最具代表性。有趣的是发现外国教程都用tDasm的IAT乱
序修复方法:即在程序入口把本来正确的IAT借用壳代码再进行
乱序处理。现以Armadillo 3.75A1主程序为例,介绍本人采用的
还原IAT乱序的简单方法。本方法集DUMP(原来的DUMP方法已不适
用乱序IAT处理)和IAT处理于一体。
前面部分操作方法都是一样,不多说。下面是修改关键跳转
使IAT不加密(也是tDasm的方法,个人认为这个方法简单且操作方便)
}
文章提到的方法中:
tDasm的IAT乱序修复方法:即在程序入口把本来正确的IAT借用壳代码
再进行乱序处理。
我的疑问是这样修复的表是不是有点“负负得正”的意思,
用数学公式来表示:
乱序*乱序 = 乱序(但是此时正好符合了我们程序运行的要求)
就是说乱序了2次后,程序的的引入表调用又恢复了正常,
但是和原来的加壳前的IAT一定是不一样的。
我这样理解没错吧?
[课程]FART 脱壳王!加量不加价!FART作者讲授!
