-
-
[求助]13.8.2 节 脱壳, 用Import rec获取IAT的疑问
-
2016-10-21 17:35
-
在13.8.2 节,脱aspack加壳的EdrLib.dll 中,讲述的获取输入表的方法中,为什么不直接用import rec等工具来获取呢。
我尝试用import rec 获取输入表,却出现了 "Can‘t read memory of the process"的错误,如下图:
此时EIP在EdrLib真正的入口点,数据窗口中也可以看见IAT。
打开import rec 选中loaddll.exe 后,选中EdrLib.dll模块。输入IAT的RAV和Size,点击“Get Imports" 按钮,出现 "Can‘t read memory of the process"。
求大神解释一哈。
另真如 笨笨雄 大牛说的,脱壳dll的资料真的不多啊,这是为什么呢
我尝试用import rec 获取输入表,却出现了 "Can‘t read memory of the process"的错误,如下图:
此时EIP在EdrLib真正的入口点,数据窗口中也可以看见IAT。
打开import rec 选中loaddll.exe 后,选中EdrLib.dll模块。输入IAT的RAV和Size,点击“Get Imports" 按钮,出现 "Can‘t read memory of the process"。
求大神解释一哈。
另真如 笨笨雄 大牛说的,脱壳dll的资料真的不多啊,这是为什么呢
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
