能力值:
( LV9,RANK:410 )
|
-
-
2 楼
没有人能看得懂还是完全不值得讨论??
这么技术讨论的帖子那么难,正确或者错误也希望大虾们出来看看呀
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
楼主的境界果然高,可以秒杀Hying0.76了,不过不是不值得讨论...
只是没有正常人会象我这样半夜来灌水
|
能力值:
( LV9,RANK:250 )
|
-
-
4 楼
你好像都真完了,.....
IAT ,?程序,而言,??有?序?铨,只有???铨...
只要 Create New IAT,? 重新定位,原? CALL [API] ,Address
就可以了,原?的表,在不在,都?所洲了.....:confused
回?其?不膣的,?? Patch 就 OK 了....:
|
能力值:
( LV9,RANK:410 )
|
-
-
5 楼
问题是壳破坏了IAT表,不重建IAT是不行的,而现在的Import REConstructor v1.6F不不能很好的处理乱序的IAT只能手工一个一个修,所以必须重新排序,让REConstructor v1.6能重新的建立IAT起来.
其实,我希望讨论的是这个表,就是call xxxI对应的有一张表的.你玩过最新的ASP,它的抽代码部分,是不是也存在这样的逆向表??
|
能力值:
( LV9,RANK:250 )
|
-
-
6 楼
最初由 hnhuqiong 发布 问题是壳破坏了IAT表,不重建IAT是不行的,而现在的Import REConstructor v1.6F不不能很好的处理乱序的IAT只能手工一个一个修,所以必须重新排序,让REConstructor v1.6能重新的建立IAT起来.
其实,我希望讨论的是这个表,就是call xxxI对应的有一张表的.你玩过最新的ASP,它的抽代码部分,是不是也存在这样的逆向表??
不需要手工修?,只要? PATCH ,就可以....你可以?考呃篇
http://bbs.pediy.com/showthread.php?threadid=16774
你要找,有?有逆向表,粉??,就??的OEP,找到程序的 OEP
就可以,知道有?有??表了...
其?,根本不用管,有?有表,膣道?有表,就不能??了????
如果有?成的,??表,呃?也不膣?了......
|
能力值:
(RANK:10 )
|
-
-
7 楼
|
能力值:
( LV8,RANK:130 )
|
-
-
8 楼
南蛮妈妈认为,只要有表可查,就能想办法修复
除非用自己的代码模拟api
|
能力值:
( LV9,RANK:250 )
|
-
-
9 楼
最初由 南蛮妈妈 发布 南蛮妈妈认为,只要有表可查,就能想办法修复 除非用自己的代码模拟api
你猜?了,ASPR_SKE 就是?自己,模? API,有的 API 是完全模?的...!!!.
也就是,完全不?跳到 KERNEL32.DLL 的 MEMORY ??,
直接模?完,就返回主程序...
|
能力值:
( LV8,RANK:130 )
|
-
-
10 楼
最初由 syscom 发布
你猜?了,ASPR_SKE 就是?自己,模? API,有的 API 是完全模?的...!!!.
也就是,完全不?跳到 KERNEL32.DLL 的 MEMORY ??, ........
南蛮妈妈认为, 这些模拟的api,只要把进ntdll.dll的修复就行了
|
能力值:
( LV9,RANK:410 )
|
-
-
11 楼
模拟的API应该不难,因为壳需要在到达OEP前,预处理这些模拟的API,得出适当的值保存给其他的调用,提前拦截它们的预处理,就知道到底多少是预处理的API了,剩下的就是找到它们预处理的API表.(又一张表)
|
能力值:
( LV9,RANK:1060 )
|
-
-
12 楼
会不会是随机的,或是一些特定的函数。
|
|
|