首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
ARM 不寻常的IAT修复问题 。
发表于: 2004-6-15 13:55 4865

ARM 不寻常的IAT修复问题 。

baby 活跃值
2004-6-15 13:55
4865
ARM 不寻常的IAT修复问题 。

抓取的程序代码:
00401000 > /EB 10                jmp short dumped.00401012
00401002   |66:623A              bound di,dword ptr ds:[edx]
00401005   |43                   inc ebx
00401006   |2B2B                 sub ebp,dword ptr ds:[ebx]
00401008   |48                   dec eax
00401009   |4F                   dec edi
0040100A   |4F                   dec edi
0040100B   |4B                   dec ebx
0040100C   |90                   nop
0040100D  -|E9 CCC14100          jmp 0081D1DE
00401012   \A1 BFC14100          mov eax,dword ptr ds:[41C1BF]
00401017    C1E0 02              shl eax,2
0040101A    A3 C3C14100          mov dword ptr ds:[41C1C3],eax
0040101F    52                   push edx
00401020    6A 00                push 0
00401022    E8 6FA80100          call dumped.0041B896  --------这里出问题了 。
00401027    8BD0                 mov edx,eax
00401029    E8 02E70000          call dumped.0040F730
0040102E    5A                   pop edx                          ; KERNEL32.77E71AF6

原程序代码:
00401000 > $ /EB 10              jmp short sss.00401012
00401002     |66                 db 66                            ;  CHAR 'f'
00401003     |62                 db 62                            ;  CHAR 'b'
00401004     |3A                 db 3A                            ;  CHAR ':'
00401005     |43                 db 43                            ;  CHAR 'C'
00401006     |2B                 db 2B                            ;  CHAR '+'
00401007     |2B                 db 2B                            ;  CHAR '+'
00401008     |48                 db 48                            ;  CHAR 'H'
00401009     |4F                 db 4F                            ;  CHAR 'O'
0040100A     |4F                 db 4F                            ;  CHAR 'O'
0040100B     |4B                 db 4B                            ;  CHAR 'K'
0040100C     |90                 nop
0040100D     |E9                 db E9
0040100E   . |CCB14100           dd offset sss.___CPPdebugHo>
00401012   > \A1 BFB14100        mov eax,dword ptr ds:[41B1BF]
00401017   .  C1E0 02            shl eax,2
0040101A   .  A3 C3B14100        mov dword ptr ds:[41B1C3],eax
0040101F   .  52                 push edx
00401020   .  6A 00              push 0                           ; /pModule = NULL
00401022   .  E8 8F950100        call <jmp.&KERNEL32.GetModuleHan>; \GetModuleHandleA
00401027   .  8BD0               mov edx,eax
00401029   .  E8 06D50000        call sss.0040E534
0040102E   .  5A                 pop edx  

请问这样的IAT怎么修复 ?谢谢

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (2)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
用 ImportREC 修复输入表
2004-6-15 16:07
0
baby
雪    币: 250
活跃值: (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
不好意思刚才没说明白。:(
常规程序进入这个call后:是函数
00464BCE   - FF25 28234700          jmp dword ptr ds:[472328]
00464BD4   - FF25 2C234700          jmp dword ptr ds:[47232C]             ; KERNEL32.GetOEMCP
。。。。。。。
可是这个程序进入call后:
0041B896    B2 3C                mov dl,3C
0041B898    1C 0A                sbb al,0A
0041B89A    76 18                jbe short dump.0041B8B4
0041B89C    5B                   pop ebx                          ; dump.00401027
0041B89D    95                   xchg eax,ebp
0041B89E  ^ 71 A5                jno short dump.0041B845
0041B8A0    9F                   lahf
0041B8A1    B1 B2                mov cl,0B2
0041B8A3    3C B4                cmp al,0B4
0041B8A5    0C 76                or al,76
0041B8A7    185B 95              sbb byte ptr ds:[ebx-6B],bl
0041B8AA    C1A2 9FB1B23C 5C     shl dword ptr ds:[edx+3CB2B19F],>
0041B8B1    0A76 18              or dh,byte ptr ds:[esi+18]
0041B8B4    5B                   pop ebx                          ; dump.00401027
0041B8B5    95                   xchg eax,ebp
0041B8B6    21A0 9FB1B23C        and dword ptr ds:[eax+3CB2B19F],>
0041B8BC    0C 08                or al,8
0041B8BE    76 18                jbe short dump.0041B8D8
0041B8C0    5B                   pop ebx                          ; dump.00401027
0041B8C1    95                   xchg eax,ebp
0041B8C2    A9 A29FB1B2          test eax,B2B19FA2
0041B8C7    3C 34                cmp al,34
0041B8C9    0876 18              or byte ptr ds:[esi+18],dh
0041B8CC    5B                   pop ebx                          ; dump.00401027
0041B8CD    95                   xchg eax,ebp
0041B8CE    81A1 9FB1B23C 280A76>and dword ptr ds:[ecx+3CB2B19F],>
0041B8D8    5B                   pop ebx                          ; dump.00401027
0041B8D9    95                   xchg eax,ebp
0041B8DA    A5                   movs dword ptr es:[edi],dword pt>
0041B8DB    A3 9FB1B23C          mov dword ptr ds:[3CB2B19F],eax
0041B8E0    60                   pushad
0041B8E1    0C 76                or al,76
0041B8E3    185B 95              sbb byte ptr ds:[ebx-6B],bl
0041B8E6    85A3 9FB1B23C        test dword ptr ds:[ebx+3CB2B19F]>
0041B8EC    68 0B76185B          push 5B18760B
0041B8F1    95                   xchg eax,ebp
0041B8F2  ^ E1 A5                loopde short dump.0041B899
2004-6-15 18:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//