-
-
[求助]13.8.2 节 脱壳, 用Import rec获取IAT的疑问
-
发表于: 2016-10-21 17:35
-
在13.8.2 节,脱aspack加壳的EdrLib.dll 中,讲述的获取输入表的方法中,为什么不直接用import rec等工具来获取呢。
我尝试用import rec 获取输入表,却出现了 "Can‘t read memory of the process"的错误,如下图:
此时EIP在EdrLib真正的入口点,数据窗口中也可以看见IAT。
打开import rec 选中loaddll.exe 后,选中EdrLib.dll模块。输入IAT的RAV和Size,点击“Get Imports" 按钮,出现 "Can‘t read memory of the process"。
求大神解释一哈。
另真如 笨笨雄 大牛说的,脱壳dll的资料真的不多啊,这是为什么呢
我尝试用import rec 获取输入表,却出现了 "Can‘t read memory of the process"的错误,如下图:
此时EIP在EdrLib真正的入口点,数据窗口中也可以看见IAT。
打开import rec 选中loaddll.exe 后,选中EdrLib.dll模块。输入IAT的RAV和Size,点击“Get Imports" 按钮,出现 "Can‘t read memory of the process"。
求大神解释一哈。
另真如 笨笨雄 大牛说的,脱壳dll的资料真的不多啊,这是为什么呢
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
