[求助]关于IAT修复的原理-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]关于IAT修复的原理

发表于: 2014-12-17 15:06 4705

[求助]关于IAT修复的原理

人在塔在

2014-12-17 15:06

4705

比如一个最简单的
外壳程序把OriginalFirstThunk 表清空掉
IAT是正确的函数地址

此时dump之后，运行时由于没有函数名字而无法填充IAT

IAT修复工具是怎么获取函数名字的？？
难道是枚举dll的所有导出函数循环GetProcAddr的返回值跟iat 对比？然后去填充OriginalFirstThunk 吗？？

菜鸟求解释 - -

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 2 楼符号。 2014-12-17 16:00 0
维和部队雪币： 31 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	维和部队 3 楼根据所填的函数的地址遍历所有模块看命中在那个模块中，再遍历命中的模块的导出函数地址是否有相同的，有相同的根据地址反推出函数名。 2014-12-17 16:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

人在塔在

发帖

391

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 2 楼符号。 2014-12-17 16:00 0
维和部队雪币： 31 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	维和部队 3 楼根据所填的函数的地址遍历所有模块看命中在那个模块中，再遍历命中的模块的导出函数地址是否有相同的，有相同的根据地址反推出函数名。 2014-12-17 16:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复