关于call API代码抽取的一些讨论-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 2 楼没有人能看得懂还是完全不值得讨论?? 这么技术讨论的帖子那么难,正确或者错误也希望大虾们出来看看呀 2005-10-9 00:46 0
xuruifengc 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 0 关注私信	xuruifengc 3 楼楼主的境界果然高,可以秒杀Hying0.76了,不过不是不值得讨论... 只是没有正常人会象我这样半夜来灌水 2005-10-9 02:21 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 4 楼你好像都真完了,..... IAT ,?程序,而言,??有?序?铨,只有???铨... 只要 Create New IAT,? 重新定位,原? CALL [API] ,Address 就可以了,原?的表,在不在,都?所洲了.....:confused 回?其?不膣的,?? Patch 就 OK 了....: 2005-10-9 04:17 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 5 楼问题是壳破坏了IAT表,不重建IAT是不行的,而现在的Import REConstructor v1.6F不不能很好的处理乱序的IAT只能手工一个一个修,所以必须重新排序,让REConstructor v1.6能重新的建立IAT起来. 其实,我希望讨论的是这个表,就是call xxxI对应的有一张表的.你玩过最新的ASP,它的抽代码部分,是不是也存在这样的逆向表?? 2005-10-9 06:16 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 6 楼最初由 hnhuqiong 发布问题是壳破坏了IAT表,不重建IAT是不行的,而现在的Import REConstructor v1.6F不不能很好的处理乱序的IAT只能手工一个一个修,所以必须重新排序,让REConstructor v1.6能重新的建立IAT起来. 其实,我希望讨论的是这个表,就是call xxxI对应的有一张表的.你玩过最新的ASP,它的抽代码部分,是不是也存在这样的逆向表?? 不需要手工修?,只要? PATCH ,就可以....你可以?考呃篇 http://bbs.pediy.com/showthread.php?threadid=16774 你要找,有?有逆向表,粉??,就??的OEP,找到程序的 OEP 就可以,知道有?有??表了... 其?,根本不用管,有?有表,膣道?有表,就不能??了???? 如果有?成的,??表,呃?也不膣?了...... 2005-10-9 06:58 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 7 楼最初由 syscom 发布不需要手工修?,只要? PATCH ,就可以....你可以?考呃篇 http://bbs.pediy.com/showthread.php?threadid=16774 ........ Patch如何写是难点。。。 PS：你的那篇文章的Patch为什么要那么写呢？ 2005-10-9 08:13 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 8 楼南蛮妈妈认为,只要有表可查,就能想办法修复除非用自己的代码模拟api 2005-10-9 09:20 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 9 楼最初由南蛮妈妈发布南蛮妈妈认为,只要有表可查,就能想办法修复除非用自己的代码模拟api 你猜?了,ASPR_SKE 就是?自己,模? API,有的 API 是完全模?的...!!!. 也就是,完全不?跳到 KERNEL32.DLL 的 MEMORY ??, 直接模?完,就返回主程序... 2005-10-9 09:48 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 10 楼最初由 syscom 发布你猜?了,ASPR_SKE 就是?自己,模? API,有的 API 是完全模?的...!!!. 也就是,完全不?跳到 KERNEL32.DLL 的 MEMORY ??, ........ 南蛮妈妈认为, 这些模拟的api,只要把进ntdll.dll的修复就行了 2005-10-9 09:53 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 11 楼模拟的API应该不难,因为壳需要在到达OEP前,预处理这些模拟的API,得出适当的值保存给其他的调用,提前拦截它们的预处理,就知道到底多少是预处理的API了,剩下的就是找到它们预处理的API表.(又一张表) 2005-10-9 10:04 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 12 楼会不会是随机的，或是一些特定的函数。 2005-10-9 12:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 2 楼没有人能看得懂还是完全不值得讨论?? 这么技术讨论的帖子那么难,正确或者错误也希望大虾们出来看看呀 2005-10-9 00:46 0
xuruifengc 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 0 关注私信	xuruifengc 3 楼楼主的境界果然高,可以秒杀Hying0.76了,不过不是不值得讨论... 只是没有正常人会象我这样半夜来灌水 2005-10-9 02:21 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 4 楼你好像都真完了,..... IAT ,?程序,而言,??有?序?铨,只有???铨... 只要 Create New IAT,? 重新定位,原? CALL [API] ,Address 就可以了,原?的表,在不在,都?所洲了.....:confused 回?其?不膣的,?? Patch 就 OK 了....: 2005-10-9 04:17 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 5 楼问题是壳破坏了IAT表,不重建IAT是不行的,而现在的Import REConstructor v1.6F不不能很好的处理乱序的IAT只能手工一个一个修,所以必须重新排序,让REConstructor v1.6能重新的建立IAT起来. 其实,我希望讨论的是这个表,就是call xxxI对应的有一张表的.你玩过最新的ASP,它的抽代码部分,是不是也存在这样的逆向表?? 2005-10-9 06:16 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 6 楼最初由 hnhuqiong 发布问题是壳破坏了IAT表,不重建IAT是不行的,而现在的Import REConstructor v1.6F不不能很好的处理乱序的IAT只能手工一个一个修,所以必须重新排序,让REConstructor v1.6能重新的建立IAT起来. 其实,我希望讨论的是这个表,就是call xxxI对应的有一张表的.你玩过最新的ASP,它的抽代码部分,是不是也存在这样的逆向表?? 不需要手工修?,只要? PATCH ,就可以....你可以?考呃篇 http://bbs.pediy.com/showthread.php?threadid=16774 你要找,有?有逆向表,粉??,就??的OEP,找到程序的 OEP 就可以,知道有?有??表了... 其?,根本不用管,有?有表,膣道?有表,就不能??了???? 如果有?成的,??表,呃?也不膣?了...... 2005-10-9 06:58 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 7 楼最初由 syscom 发布不需要手工修?,只要? PATCH ,就可以....你可以?考呃篇 http://bbs.pediy.com/showthread.php?threadid=16774 ........ Patch如何写是难点。。。 PS：你的那篇文章的Patch为什么要那么写呢？ 2005-10-9 08:13 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 8 楼南蛮妈妈认为,只要有表可查,就能想办法修复除非用自己的代码模拟api 2005-10-9 09:20 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 9 楼最初由南蛮妈妈发布南蛮妈妈认为,只要有表可查,就能想办法修复除非用自己的代码模拟api 你猜?了,ASPR_SKE 就是?自己,模? API,有的 API 是完全模?的...!!!. 也就是,完全不?跳到 KERNEL32.DLL 的 MEMORY ??, 直接模?完,就返回主程序... 2005-10-9 09:48 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 10 楼最初由 syscom 发布你猜?了,ASPR_SKE 就是?自己,模? API,有的 API 是完全模?的...!!!. 也就是,完全不?跳到 KERNEL32.DLL 的 MEMORY ??, ........ 南蛮妈妈认为, 这些模拟的api,只要把进ntdll.dll的修复就行了 2005-10-9 09:53 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 11 楼模拟的API应该不难,因为壳需要在到达OEP前,预处理这些模拟的API,得出适当的值保存给其他的调用,提前拦截它们的预处理,就知道到底多少是预处理的API了,剩下的就是找到它们预处理的API表.(又一张表) 2005-10-9 10:04 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 12 楼会不会是随机的，或是一些特定的函数。 2005-10-9 12:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复