-
-
[旧帖] [求助]PE导入表 查找函数汇编代码 0.00雪花
-
发表于: 2016-1-16 16:03
-
OriginalFirstThunk FirstThunk在未加载到内存的状态下指向的数据不一直是什么问题导致的?我要怎么才能把SHELL32.DLL中shellaboutw函数的汇编代码找出来,请前辈给我点建议吧 我刚刚学PE,谢谢
附件里有我测试的对象一个小程序,下面是我的一些分析
F0+80=170 得到输入表地址 12B80
各块中的起始地址: .text:1000 .data:14000 .rsrc:16000
那么就应该用1000-400=C00
12B80-C00=11F80 得到输入表
我以第一个输入表为例:A82C0100 FFFFFFFFF FFFFFFF 422E0100 9C100000
12CA8-C00=120A8 OriginalFirstThunk
12E42-C00=12242 NAME
109C-C00=49C FirstThunk
这时我发现OriginalFirstThunk FirstThunk指向的值不一样 根据加密与解密书上说的 两个所指的值应该是一样的猜对?这样才能把HELL32.DLL中shellaboutw函数的汇编代码找出来?
请前辈给点建议吧!我在往后跟 120A8 指向的值是 12E34-C00=12234
12234:(9400)(5368656C6C41626F75745700) (..ShellAboutW.)
FirstThunk的值要载入内存后才能看出来 可我载入后就昏了 直接找不到49C
附件里有我测试的对象一个小程序,下面是我的一些分析
F0+80=170 得到输入表地址 12B80
各块中的起始地址: .text:1000 .data:14000 .rsrc:16000
那么就应该用1000-400=C00
12B80-C00=11F80 得到输入表
我以第一个输入表为例:A82C0100 FFFFFFFFF FFFFFFF 422E0100 9C100000
12CA8-C00=120A8 OriginalFirstThunk
12E42-C00=12242 NAME
109C-C00=49C FirstThunk
这时我发现OriginalFirstThunk FirstThunk指向的值不一样 根据加密与解密书上说的 两个所指的值应该是一样的猜对?这样才能把HELL32.DLL中shellaboutw函数的汇编代码找出来?
请前辈给点建议吧!我在往后跟 120A8 指向的值是 12E34-C00=12234
12234:(9400)(5368656C6C41626F75745700) (..ShellAboutW.)
FirstThunk的值要载入内存后才能看出来 可我载入后就昏了 直接找不到49C
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
