[原创]自己动手修复ImpREC的Bug-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]自己动手修复ImpREC的Bug

发表于: 2015-9-12 16:49 14591

[原创]自己动手修复ImpREC的Bug

遗忘的三伏天

2015-9-12 16:49

14591

    pushad									;保存环境
    lea eax, dword ptr ss:[eax+0x98]				;获取MZ头地址

    mov ecx, dword ptr ds:[eax+0x3C]
    lea edx, dword ptr ds:[eax+ecx]				;获得PE标志地址	IMAGE_NT_HEADERS
    										
    lea esi, dword ptr ds:[edx+0x18]
    xor ecx, ecx
    mov cx, word ptr ds:[edx+0x14]			
    add esi, ecx								;求得节表的首地址
    mov cx, word ptr ds:[edx+6]					;节表个数：edx+8
    imul ecx, 0x28							;求出当前的节表总大小
    add ecx, 0x28							;求出修复后的节表总大小
    add esi, ecx								;节表尾地址
    sub esi, eax								;节表尾减MZ头求出SizeOfHeaders
    mov dword ptr ds:[edx+0x54], esi				;复制SizeOfHeaders到Buffer			
    popad									;还原环境
    MOV EAX,DWORD PTR SS:[EBP+420]			;修复jmp覆盖的代码
    jmp 0042CA18

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

image001.png （13.10kb，9次下载）
image003.png （6.55kb，6次下载）
image005.png （15.27kb，2次下载）
image007.png （3.99kb，2次下载）
image009.png （3.19kb，2次下载）
image011.png （3.47kb，2次下载）
image013.png （4.67kb，2次下载）
image015.png （8.77kb，2次下载）
image017.png （13.31kb，2次下载）
image019.png （8.39kb，2次下载）
image021.png （20.20kb，2次下载）
image023.png （6.62kb，2次下载）
image025.png （9.10kb，3次下载）
image027.png （3.20kb，3次下载）
image029.png （4.92kb，3次下载）
image031.png （0.79kb，3次下载）
image033.png （21.79kb，3次下载）
image035.png （10.94kb，2次下载）
image037.png （1.26kb，2次下载）
image039.png （7.24kb，3次下载）
image041.png （18.29kb，5次下载）
image043.png （6.58kb，3次下载）
image045.png （2.93kb，3次下载）
image047.png （2.42kb，2次下载）
image049.png （2.38kb，2次下载）
image051.png （5.00kb，2次下载）
image053.png （8.56kb，2次下载）
image055.png （21.86kb，2次下载）
image057.png （1.68kb，2次下载）
image059.png （10.26kb，2次下载）
image061.png （3.58kb，2次下载）
image063.png （3.35kb，6次下载）
9_16.png （10.22kb，8次下载）
ImportREC_fix_2015_9_16.rar （165.56kb，158次下载）

收藏・21

免费・3

支持

最新回复 (19)
zijun 雪币： 152 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	zijun 2 楼支持一下，写得很好．这个是ImpRec的一个ＢＵＧ，一般不容易触发． 2015-9-12 16:59 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 3 楼详细讲解，虽看不懂，表示感谢 2015-9-12 17:16 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 4 楼楼主分享的技术学习一下。 2015-9-12 17:58 0
TKnifeSoul 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	TKnifeSoul 5 楼不错啊，支持一个，又看到一未来大牛的产生过程，哈哈 2015-9-12 22:29 0
xie风腾雪币： 12321 活跃值： (5078) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 6 楼来学习了哟，多谢楼主分享 2015-9-12 22:46 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 7 楼不错PE ,对学习PE知识很有帮助 2015-9-13 14:49 0
ellisandy 雪币： 0 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ellisandy 8 楼 ~~~~~~~~~~~~~~~~~~~~ 2015-9-13 21:19 0
dtkissme 雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	dtkissme 9 楼学习了，这个功能非常实用。 2015-9-13 22:39 0
haojunzhao 雪币： 19 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 10 楼楼主测试一下1.7版是否解决了你的问题 v1.6 FINAL (PUBLIC VERSION) --------------------------- - Misc - Finally fixed the bug in the check for adding section (Thanks to Christoph) 2015-9-14 16:24 0
遗忘的三伏天雪币： 85 活跃值： (791) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	遗忘的三伏天 1 11 楼我又在网上下载了几个版本（1.7的），经测试好像都没有修复这个bug...请问你说的是那个版本能私密给我下载链接么 2015-9-14 23:49 0
haojunzhao 雪币： 19 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 12 楼我这个就是1.7的，你测试一下，看历史记录1.6中已经修改过。上传的附件： ImportREC.rar （875.98kb，49次下载） 2015-9-15 08:30 0
Kisesy 雪币： 6525 活跃值： (3403) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 13 楼前几天我测试的时候,也是没发现这个BUG,无论是1.6还是1.7都是正常的而且你说 "程序自带的自动查找IAT不准确" 在我这里也是正常的,IAT跟大小都是正确的你脱壳的时候还用OllyDump修复了IAT 文中说 SizeOfHeaders 有 0x200 我这里只有 0xE0 大 inc2l_dump_.zip 这是我脱壳完的程序上传的附件： inc2l_dump_.zip （18.10kb，6次下载） 2015-9-15 08:59 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 14 楼成长很大 2015-9-15 10:05 0
遗忘的三伏天雪币： 85 活跃值： (791) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	遗忘的三伏天 1 15 楼确实是我选了那个重建输入表，OD居然给我加了一个节表. 我估计是ImpREC没有读覆盖的那个文件内容,没有发现多了一个节就直接写进程里面的数据进去,所以就出错了但是我用OD添加了dump_.exe的一个节数据，理论上应该不会跟用ImpREC修复的冲突吧.ImpREC忘了校对dump_.exe里面的节表区的大小了,直接写数据进去完事。我觉得还是要打个补丁，稍后再修改帖子多谢指点... 我说“程序自带的自动查找IAT不准确” 是因为毕竟是软件查找的总会有些找不到的情况，所以我就自己找了... 还有我看了你的程序也是0x200，你所说的0xE0应该是选项头的大小吧. 2015-9-16 09:07 0
Kisesy 雪币： 6525 活跃值： (3403) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 16 楼嗯，是我看错了 2015-9-16 10:19 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 17 楼 lz科锐几月份毕业的，上次去有跟你聊过吗？ 2015-9-17 11:24 0
遗忘的三伏天雪币： 85 活跃值： (791) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	遗忘的三伏天 1 18 楼应该是年底毕业吧... 请问您是？ 2015-9-17 20:41 0
四兩千斤雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	四兩千斤 19 楼支持阿S~ 2015-9-28 00:49 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 20 楼 ImpREC我用着没问题呀（ImportREConstructor 1.7e）这种壳直接用OllyDump重建输入表就行了，不用ImpREC也行Win7下用也正常打开 2015-9-28 10:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

遗忘的三伏天

发帖

回帖

RANK

关注

私信

他的文章

[原创]自己动手修复ImpREC的Bug 14592

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
zijun 雪币： 152 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	zijun 2 楼支持一下，写得很好．这个是ImpRec的一个ＢＵＧ，一般不容易触发． 2015-9-12 16:59 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 3 楼详细讲解，虽看不懂，表示感谢 2015-9-12 17:16 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 4 楼楼主分享的技术学习一下。 2015-9-12 17:58 0
TKnifeSoul 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	TKnifeSoul 5 楼不错啊，支持一个，又看到一未来大牛的产生过程，哈哈 2015-9-12 22:29 0
xie风腾雪币： 12321 活跃值： (5078) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 6 楼来学习了哟，多谢楼主分享 2015-9-12 22:46 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 7 楼不错PE ,对学习PE知识很有帮助 2015-9-13 14:49 0
ellisandy 雪币： 0 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ellisandy 8 楼 ~~~~~~~~~~~~~~~~~~~~ 2015-9-13 21:19 0
dtkissme 雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	dtkissme 9 楼学习了，这个功能非常实用。 2015-9-13 22:39 0
haojunzhao 雪币： 19 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 10 楼楼主测试一下1.7版是否解决了你的问题 v1.6 FINAL (PUBLIC VERSION) --------------------------- - Misc - Finally fixed the bug in the check for adding section (Thanks to Christoph) 2015-9-14 16:24 0
遗忘的三伏天雪币： 85 活跃值： (791) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	遗忘的三伏天 1 11 楼我又在网上下载了几个版本（1.7的），经测试好像都没有修复这个bug...请问你说的是那个版本能私密给我下载链接么 2015-9-14 23:49 0
haojunzhao 雪币： 19 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 12 楼我这个就是1.7的，你测试一下，看历史记录1.6中已经修改过。上传的附件： ImportREC.rar （875.98kb，49次下载） 2015-9-15 08:30 0
Kisesy 雪币： 6525 活跃值： (3403) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 13 楼前几天我测试的时候,也是没发现这个BUG,无论是1.6还是1.7都是正常的而且你说 "程序自带的自动查找IAT不准确" 在我这里也是正常的,IAT跟大小都是正确的你脱壳的时候还用OllyDump修复了IAT 文中说 SizeOfHeaders 有 0x200 我这里只有 0xE0 大 inc2l_dump_.zip 这是我脱壳完的程序上传的附件： inc2l_dump_.zip （18.10kb，6次下载） 2015-9-15 08:59 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 14 楼成长很大 2015-9-15 10:05 0
遗忘的三伏天雪币： 85 活跃值： (791) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	遗忘的三伏天 1 15 楼确实是我选了那个重建输入表，OD居然给我加了一个节表. 我估计是ImpREC没有读覆盖的那个文件内容,没有发现多了一个节就直接写进程里面的数据进去,所以就出错了但是我用OD添加了dump_.exe的一个节数据，理论上应该不会跟用ImpREC修复的冲突吧.ImpREC忘了校对dump_.exe里面的节表区的大小了,直接写数据进去完事。我觉得还是要打个补丁，稍后再修改帖子多谢指点... 我说“程序自带的自动查找IAT不准确” 是因为毕竟是软件查找的总会有些找不到的情况，所以我就自己找了... 还有我看了你的程序也是0x200，你所说的0xE0应该是选项头的大小吧. 2015-9-16 09:07 0
Kisesy 雪币： 6525 活跃值： (3403) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 16 楼嗯，是我看错了 2015-9-16 10:19 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 17 楼 lz科锐几月份毕业的，上次去有跟你聊过吗？ 2015-9-17 11:24 0
遗忘的三伏天雪币： 85 活跃值： (791) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	遗忘的三伏天 1 18 楼应该是年底毕业吧... 请问您是？ 2015-9-17 20:41 0
四兩千斤雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	四兩千斤 19 楼支持阿S~ 2015-9-28 00:49 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 20 楼 ImpREC我用着没问题呀（ImportREConstructor 1.7e）这种壳直接用OllyDump重建输入表就行了，不用ImpREC也行Win7下用也正常打开 2015-9-28 10:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复