本地脱DLL并且测试装载成功，其它机器测试时而可以时而IAT丢失。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

本地脱DLL并且测试装载成功，其它机器测试时而可以时而IAT丢失。

发表于: 2005-11-7 22:31 5984

本地脱DLL并且测试装载成功，其它机器测试时而可以时而IAT丢失。

鸡蛋壳

2005-11-7 22:31

5984

很少脱DLL壳，不知道这是什么缘故。基址重定位这些都修复正确，载入后代码都一样的，但对方机器测试时而IAT全部丢失，空白。我基址是970000，不知道是不是这个缘故。但也不是完全都这样，有时候对方机器又正常。这是在对方机器装载时的截图，按上面看应该没问题，IAT地址都吻合，却就是没显示.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (23)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼看雪精华6 2005-11-8 09:27 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼最初由南蛮妈妈发布看雪精华6 具体哪个章节解释了这个情况，基本上都是脱壳教学，没看到对这个问题的解释。 2005-11-8 09:54 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 4 楼你中间那些xx 6x C4 00是怎么回事 2005-11-8 11:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼最初由 heXer 发布你中间那些xx 6x C4 00是怎么回事是脱ARM的壳，跳过加密后原版IAT就是这样的。 2005-11-8 12:29 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼怀疑你不是正版的鸡蛋壳 2005-11-8 13:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼没修吧 2005-11-8 13:09 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 8 楼最初由 heXer 发布怀疑你不是正版的鸡蛋壳难道鸡蛋壳兄弟的ID被盗了？ 2005-11-8 14:36 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 9 楼真的郁闷。我也遇到一个差不多的问题 2005-11-8 15:18 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 10 楼最初由 heXer 发布怀疑你不是正版的鸡蛋壳不用怀疑我是不是正版，IAT的确是完整修好的，我在对方机临时脱壳的DLL运行正常，2K系统，不过到我的XP系统又不正常了，重定位发生变动，但这正常，IAT数据也出现可以读到但无法显示情况。与对方机又不同。跨平台问题。唯独这个DLL有这个问题，测试了自己用ARM加壳DLL试脱完全没问题。不过这个DLL是Borland Delphi DLL写的。 2005-11-8 17:20 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 11 楼把 PE + D8 处的8个字节（如果不是0）清0试试 2005-11-8 18:02 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 12 楼最初由 heXer 发布把 PE + D8 处的8个字节（如果不是0）清0试试检查过了这地方是零，没问题，看样子问题奇怪。经过初步查看，我怀疑是我用的的LODE版本有问题，我用的是官方最新版的LODE，自从使用它从来没有DUMP过DLL，大家用的是这个最新版的下一个版本。可能只有我在用，造成DUMP时出现了PE结构某种修改，我换一个工具DUMP看看。 2005-11-8 18:44 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 13 楼蛋蛋有面子啊,上面好几个牛牛都来顶你.爽吧. 2005-11-8 18:45 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 14 楼最有效的办法:把你脱壳后的dll传上来,大家帮你看看,找找原因. 2005-11-8 18:46 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼最初由 peaceclub 发布最有效的办法:把你脱壳后的dll传上来,大家帮你看看,找找原因. 有兴趣自己可以看看，这个本机运行正常。到别的机器就不行了,EdrLib1.dll是原文件附件:edrlib.rar 2005-11-8 18:53 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 FThunk: 00097000 NbFunc: 00000004 1 00097000 gdi32.dll 01B6 GetTextExtentPoint32W 1 00097004 gdi32.dll 0250 TextOutW 1 00097008 gdi32.dll 024F TextOutA 1 0009700C gdi32.dll 01B5 GetTextExtentPoint32A FThunk: 00097014 NbFunc: 0000002D 1 00097014 kernel32.dll 03B5 lstrlenW 1 00097018 kernel32.dll 00F0 FreeEnvironmentStringsW 1 0009701C kernel32.dll 010A GetCommandLineA 1 00097020 kernel32.dll 01DB GetVersion 1 00097024 kernel32.dll 00B7 ExitProcess 1 00097028 kernel32.dll 0347 TerminateProcess 1 0009702C kernel32.dll 013C GetCurrentProcess 1 00097030 kernel32.dll 013F GetCurrentThreadId 1 00097034 kernel32.dll 034F TlsSetValue 1 00097038 kernel32.dll 034C TlsAlloc 1 0009703C kernel32.dll 034D TlsFree 1 00097040 kernel32.dll 034E TlsGetValue 1 00097044 kernel32.dll 0255 LockResource 1 00097048 kernel32.dll 01AF GetStdHandle 1 0009704C kernel32.dll 015F GetFileType 1 00097050 kernel32.dll 01AD GetStartupInfoA 1 00097054 kernel32.dll 0080 DeleteCriticalSection 1 00097058 kernel32.dll 0174 GetModuleFileNameA 1 0009705C kernel32.dll 00EF FreeEnvironmentStringsA 1 00097060 kernel32.dll 03B3 lstrlen 1 00097064 kernel32.dll 037F WideCharToMultiByte 1 00097068 kernel32.dll 014E GetEnvironmentStrings 1 0009706C kernel32.dll 0150 GetEnvironmentStringsW 1 00097070 kernel32.dll 0207 HeapDestroy 1 00097074 kernel32.dll 0205 HeapCreate 1 00097078 kernel32.dll 036E VirtualFree 1 0009707C kernel32.dll 0209 HeapFree 1 00097080 kernel32.dll 038C WriteFile 1 00097084 kernel32.dll 0216 InitializeCriticalSection 1 00097088 kernel32.dll 0097 EnterCriticalSection 1 0009708C kernel32.dll 0241 LeaveCriticalSection 1 00097090 kernel32.dll 0203 HeapAlloc 1 00097094 kernel32.dll 00FE GetCPInfo 1 00097098 kernel32.dll 00F7 GetACP 1 0009709C kernel32.dll 018B GetOEMCP 1 000970A0 kernel32.dll 036B VirtualAlloc 1 000970A4 kernel32.dll 020D HeapReAlloc 1 000970A8 kernel32.dll 0198 GetProcAddress 1 000970AC kernel32.dll 0242 LoadLibraryA 1 000970B0 kernel32.dll 0265 MultiByteToWideChar 1 000970B4 kernel32.dll 0234 LCMapStringA 1 000970B8 kernel32.dll 0235 LCMapStringW 1 000970BC kernel32.dll 01B0 GetStringTypeA 1 000970C0 kernel32.dll 01B3 GetStringTypeW 1 000970C4 kernel32.dll 02C5 RtlUnwind ----> FThunk: 00004000 NbFunc: 00000004 1 00004000 gdi32.dll 01B6 GetTextExtentPoint32W 1 00004004 gdi32.dll 0250 TextOutW 1 00004008 gdi32.dll 024F TextOutA 1 0000400C gdi32.dll 01B5 GetTextExtentPoint32A FThunk: 00004014 NbFunc: 0000002D 1 00004014 kernel32.dll 03B5 lstrlenW 1 00004018 kernel32.dll 00F0 FreeEnvironmentStringsW 1 0000401C kernel32.dll 010A GetCommandLineA 1 00004020 kernel32.dll 01DB GetVersion 1 00004024 kernel32.dll 00B7 ExitProcess 1 00004028 kernel32.dll 0347 TerminateProcess 1 0000402C kernel32.dll 013C GetCurrentProcess 1 00004030 kernel32.dll 013F GetCurrentThreadId 1 00004034 kernel32.dll 034F TlsSetValue 1 00004038 kernel32.dll 034C TlsAlloc 1 0000403C kernel32.dll 034D TlsFree 1 00004040 kernel32.dll 034E TlsGetValue 1 00004044 kernel32.dll 0255 LockResource 1 00004048 kernel32.dll 01AF GetStdHandle 1 0000404C kernel32.dll 015F GetFileType 1 00004050 kernel32.dll 01AD GetStartupInfoA 1 00004054 kernel32.dll 0080 DeleteCriticalSection 1 00004058 kernel32.dll 0174 GetModuleFileNameA 1 0000405C kernel32.dll 00EF FreeEnvironmentStringsA 1 00004060 kernel32.dll 03B3 lstrlen 1 00004064 kernel32.dll 037F WideCharToMultiByte 1 00004068 kernel32.dll 014E GetEnvironmentStrings 1 0000406C kernel32.dll 0150 GetEnvironmentStringsW 1 00004070 kernel32.dll 0207 HeapDestroy 1 00004074 kernel32.dll 0205 HeapCreate 1 00004078 kernel32.dll 036E VirtualFree 1 0000407C kernel32.dll 0209 HeapFree 1 00004080 kernel32.dll 038C WriteFile 1 00004084 kernel32.dll 0216 InitializeCriticalSection 1 00004088 kernel32.dll 0097 EnterCriticalSection 1 0000408C kernel32.dll 0241 LeaveCriticalSection 1 00004090 kernel32.dll 0203 HeapAlloc 1 00004094 kernel32.dll 00FE GetCPInfo 1 00004098 kernel32.dll 00F7 GetACP 1 0000409C kernel32.dll 018B GetOEMCP 1 000040A0 kernel32.dll 036B VirtualAlloc 1 000040A4 kernel32.dll 020D HeapReAlloc 1 000040A8 kernel32.dll 0198 GetProcAddress 1 000040AC kernel32.dll 0242 LoadLibraryA 1 000040B0 kernel32.dll 0265 MultiByteToWideChar 1 000040B4 kernel32.dll 0234 LCMapStringA 1 000040B8 kernel32.dll 0235 LCMapStringW 1 000040BC kernel32.dll 01B0 GetStringTypeA 1 000040C0 kernel32.dll 01B3 GetStringTypeW 1 000040C4 kernel32.dll 02C5 RtlUnwind 2005-11-8 20:40 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼 fly 8+4+8+2+3+7+1+4 找你有事 2005-11-8 20:41 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 18 楼最初由 fly 发布 FThunk: 00097000 NbFunc: 00000004 1 00097000 gdi32.dll 01B6 GetTextExtentPoint32W 1 00097004 gdi32.dll 0250 TextOutW 1 00097008 gdi32.dll 024F TextOutA 1 0009700C gdi32.dll 01B5 GetTextExtentPoint32A ........ IAT是没问题。 2005-11-8 20:44 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 19 楼最初由鸡蛋壳发布 IAT是没问题。果然不是正版的蛋蛋, 输入表的RVA修错了都不知道 2005-11-8 20:54 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 20 楼最初由 shoooo 发布果然不是正版的蛋蛋, 输入表的RVA修错了都不知道既然修错了，那我为什么自己能够运行？ 2005-11-8 21:06 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 21 楼最初由鸡蛋壳发布既然修错了，那我为什么自己能够运行？可能没用到那几个函数 2005-11-8 21:08 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 22 楼最初由闪电狼发布可能没用到那几个函数通过搜索全部调用，IAT一个不少。难道吓猫碰死耗子？应该有原理吧，我是这样修的，REC提示基址是400000所以以REC提示基址来计算，如果按内存查看的基址那么如FLY上面所列的RVA地址。但的确修复了。并且可以跑，而且对方机器也的确看到正确的IAT调用地址，只是无法显示而已。这不是很怪异？ 2005-11-8 21:11 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 23 楼真的晕倒，把IAT放到按FLY的00404000－004040C9地址后然后REC修复还是问题依旧。真的玩完了。 2005-11-8 22:51 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 24 楼蛋多了就有坏蛋了。。 2005-11-9 00:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

鸡蛋壳

456

发帖

3147

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼看雪精华6 2005-11-8 09:27 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼最初由南蛮妈妈发布看雪精华6 具体哪个章节解释了这个情况，基本上都是脱壳教学，没看到对这个问题的解释。 2005-11-8 09:54 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 4 楼你中间那些xx 6x C4 00是怎么回事 2005-11-8 11:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼最初由 heXer 发布你中间那些xx 6x C4 00是怎么回事是脱ARM的壳，跳过加密后原版IAT就是这样的。 2005-11-8 12:29 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼怀疑你不是正版的鸡蛋壳 2005-11-8 13:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼没修吧 2005-11-8 13:09 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 8 楼最初由 heXer 发布怀疑你不是正版的鸡蛋壳难道鸡蛋壳兄弟的ID被盗了？ 2005-11-8 14:36 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 9 楼真的郁闷。我也遇到一个差不多的问题 2005-11-8 15:18 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 10 楼最初由 heXer 发布怀疑你不是正版的鸡蛋壳不用怀疑我是不是正版，IAT的确是完整修好的，我在对方机临时脱壳的DLL运行正常，2K系统，不过到我的XP系统又不正常了，重定位发生变动，但这正常，IAT数据也出现可以读到但无法显示情况。与对方机又不同。跨平台问题。唯独这个DLL有这个问题，测试了自己用ARM加壳DLL试脱完全没问题。不过这个DLL是Borland Delphi DLL写的。 2005-11-8 17:20 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 11 楼把 PE + D8 处的8个字节（如果不是0）清0试试 2005-11-8 18:02 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 12 楼最初由 heXer 发布把 PE + D8 处的8个字节（如果不是0）清0试试检查过了这地方是零，没问题，看样子问题奇怪。经过初步查看，我怀疑是我用的的LODE版本有问题，我用的是官方最新版的LODE，自从使用它从来没有DUMP过DLL，大家用的是这个最新版的下一个版本。可能只有我在用，造成DUMP时出现了PE结构某种修改，我换一个工具DUMP看看。 2005-11-8 18:44 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 13 楼蛋蛋有面子啊,上面好几个牛牛都来顶你.爽吧. 2005-11-8 18:45 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 14 楼最有效的办法:把你脱壳后的dll传上来,大家帮你看看,找找原因. 2005-11-8 18:46 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼最初由 peaceclub 发布最有效的办法:把你脱壳后的dll传上来,大家帮你看看,找找原因. 有兴趣自己可以看看，这个本机运行正常。到别的机器就不行了,EdrLib1.dll是原文件附件:edrlib.rar 2005-11-8 18:53 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 FThunk: 00097000 NbFunc: 00000004 1 00097000 gdi32.dll 01B6 GetTextExtentPoint32W 1 00097004 gdi32.dll 0250 TextOutW 1 00097008 gdi32.dll 024F TextOutA 1 0009700C gdi32.dll 01B5 GetTextExtentPoint32A FThunk: 00097014 NbFunc: 0000002D 1 00097014 kernel32.dll 03B5 lstrlenW 1 00097018 kernel32.dll 00F0 FreeEnvironmentStringsW 1 0009701C kernel32.dll 010A GetCommandLineA 1 00097020 kernel32.dll 01DB GetVersion 1 00097024 kernel32.dll 00B7 ExitProcess 1 00097028 kernel32.dll 0347 TerminateProcess 1 0009702C kernel32.dll 013C GetCurrentProcess 1 00097030 kernel32.dll 013F GetCurrentThreadId 1 00097034 kernel32.dll 034F TlsSetValue 1 00097038 kernel32.dll 034C TlsAlloc 1 0009703C kernel32.dll 034D TlsFree 1 00097040 kernel32.dll 034E TlsGetValue 1 00097044 kernel32.dll 0255 LockResource 1 00097048 kernel32.dll 01AF GetStdHandle 1 0009704C kernel32.dll 015F GetFileType 1 00097050 kernel32.dll 01AD GetStartupInfoA 1 00097054 kernel32.dll 0080 DeleteCriticalSection 1 00097058 kernel32.dll 0174 GetModuleFileNameA 1 0009705C kernel32.dll 00EF FreeEnvironmentStringsA 1 00097060 kernel32.dll 03B3 lstrlen 1 00097064 kernel32.dll 037F WideCharToMultiByte 1 00097068 kernel32.dll 014E GetEnvironmentStrings 1 0009706C kernel32.dll 0150 GetEnvironmentStringsW 1 00097070 kernel32.dll 0207 HeapDestroy 1 00097074 kernel32.dll 0205 HeapCreate 1 00097078 kernel32.dll 036E VirtualFree 1 0009707C kernel32.dll 0209 HeapFree 1 00097080 kernel32.dll 038C WriteFile 1 00097084 kernel32.dll 0216 InitializeCriticalSection 1 00097088 kernel32.dll 0097 EnterCriticalSection 1 0009708C kernel32.dll 0241 LeaveCriticalSection 1 00097090 kernel32.dll 0203 HeapAlloc 1 00097094 kernel32.dll 00FE GetCPInfo 1 00097098 kernel32.dll 00F7 GetACP 1 0009709C kernel32.dll 018B GetOEMCP 1 000970A0 kernel32.dll 036B VirtualAlloc 1 000970A4 kernel32.dll 020D HeapReAlloc 1 000970A8 kernel32.dll 0198 GetProcAddress 1 000970AC kernel32.dll 0242 LoadLibraryA 1 000970B0 kernel32.dll 0265 MultiByteToWideChar 1 000970B4 kernel32.dll 0234 LCMapStringA 1 000970B8 kernel32.dll 0235 LCMapStringW 1 000970BC kernel32.dll 01B0 GetStringTypeA 1 000970C0 kernel32.dll 01B3 GetStringTypeW 1 000970C4 kernel32.dll 02C5 RtlUnwind ----> FThunk: 00004000 NbFunc: 00000004 1 00004000 gdi32.dll 01B6 GetTextExtentPoint32W 1 00004004 gdi32.dll 0250 TextOutW 1 00004008 gdi32.dll 024F TextOutA 1 0000400C gdi32.dll 01B5 GetTextExtentPoint32A FThunk: 00004014 NbFunc: 0000002D 1 00004014 kernel32.dll 03B5 lstrlenW 1 00004018 kernel32.dll 00F0 FreeEnvironmentStringsW 1 0000401C kernel32.dll 010A GetCommandLineA 1 00004020 kernel32.dll 01DB GetVersion 1 00004024 kernel32.dll 00B7 ExitProcess 1 00004028 kernel32.dll 0347 TerminateProcess 1 0000402C kernel32.dll 013C GetCurrentProcess 1 00004030 kernel32.dll 013F GetCurrentThreadId 1 00004034 kernel32.dll 034F TlsSetValue 1 00004038 kernel32.dll 034C TlsAlloc 1 0000403C kernel32.dll 034D TlsFree 1 00004040 kernel32.dll 034E TlsGetValue 1 00004044 kernel32.dll 0255 LockResource 1 00004048 kernel32.dll 01AF GetStdHandle 1 0000404C kernel32.dll 015F GetFileType 1 00004050 kernel32.dll 01AD GetStartupInfoA 1 00004054 kernel32.dll 0080 DeleteCriticalSection 1 00004058 kernel32.dll 0174 GetModuleFileNameA 1 0000405C kernel32.dll 00EF FreeEnvironmentStringsA 1 00004060 kernel32.dll 03B3 lstrlen 1 00004064 kernel32.dll 037F WideCharToMultiByte 1 00004068 kernel32.dll 014E GetEnvironmentStrings 1 0000406C kernel32.dll 0150 GetEnvironmentStringsW 1 00004070 kernel32.dll 0207 HeapDestroy 1 00004074 kernel32.dll 0205 HeapCreate 1 00004078 kernel32.dll 036E VirtualFree 1 0000407C kernel32.dll 0209 HeapFree 1 00004080 kernel32.dll 038C WriteFile 1 00004084 kernel32.dll 0216 InitializeCriticalSection 1 00004088 kernel32.dll 0097 EnterCriticalSection 1 0000408C kernel32.dll 0241 LeaveCriticalSection 1 00004090 kernel32.dll 0203 HeapAlloc 1 00004094 kernel32.dll 00FE GetCPInfo 1 00004098 kernel32.dll 00F7 GetACP 1 0000409C kernel32.dll 018B GetOEMCP 1 000040A0 kernel32.dll 036B VirtualAlloc 1 000040A4 kernel32.dll 020D HeapReAlloc 1 000040A8 kernel32.dll 0198 GetProcAddress 1 000040AC kernel32.dll 0242 LoadLibraryA 1 000040B0 kernel32.dll 0265 MultiByteToWideChar 1 000040B4 kernel32.dll 0234 LCMapStringA 1 000040B8 kernel32.dll 0235 LCMapStringW 1 000040BC kernel32.dll 01B0 GetStringTypeA 1 000040C0 kernel32.dll 01B3 GetStringTypeW 1 000040C4 kernel32.dll 02C5 RtlUnwind 2005-11-8 20:40 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼 fly 8+4+8+2+3+7+1+4 找你有事 2005-11-8 20:41 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 18 楼最初由 fly 发布 FThunk: 00097000 NbFunc: 00000004 1 00097000 gdi32.dll 01B6 GetTextExtentPoint32W 1 00097004 gdi32.dll 0250 TextOutW 1 00097008 gdi32.dll 024F TextOutA 1 0009700C gdi32.dll 01B5 GetTextExtentPoint32A ........ IAT是没问题。 2005-11-8 20:44 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 19 楼最初由鸡蛋壳发布 IAT是没问题。果然不是正版的蛋蛋, 输入表的RVA修错了都不知道 2005-11-8 20:54 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 20 楼最初由 shoooo 发布果然不是正版的蛋蛋, 输入表的RVA修错了都不知道既然修错了，那我为什么自己能够运行？ 2005-11-8 21:06 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 21 楼最初由鸡蛋壳发布既然修错了，那我为什么自己能够运行？可能没用到那几个函数 2005-11-8 21:08 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 22 楼最初由闪电狼发布可能没用到那几个函数通过搜索全部调用，IAT一个不少。难道吓猫碰死耗子？应该有原理吧，我是这样修的，REC提示基址是400000所以以REC提示基址来计算，如果按内存查看的基址那么如FLY上面所列的RVA地址。但的确修复了。并且可以跑，而且对方机器也的确看到正确的IAT调用地址，只是无法显示而已。这不是很怪异？ 2005-11-8 21:11 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 23 楼真的晕倒，把IAT放到按FLY的00404000－004040C9地址后然后REC修复还是问题依旧。真的玩完了。 2005-11-8 22:51 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 24 楼蛋多了就有坏蛋了。。 2005-11-9 00:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复