首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]请问如何判断IAT是否加密
发表于: 2006-2-22 22:06 4000

[求助]请问如何判断IAT是否加密

mingzewei 活跃值
2006-2-22 22:06
4000
这里先谢谢。请详细一点。

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (4)
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
比如某个程序其IAT是404000开始的,你在OD看数据窗口,如没加密这些指针是指向相应的DLL:
00404000 >5F 48 81 7C 79 EE 81 7C 23 CC 81 7C C7 A0 80 7C  _H?y?|#?|沁?
00404010 >80 A4 80 7C B9 8C 83 7C C4 CE 80 7C 2B 2E 83 7C  ????奈?+.?
00404020 >AD 9C 80 7C 77 1D 80 7C 28 AC 80 7C FD 79 93 7C  ??w?(?|??
00404030 >81 9A 80 7C D4 05 93 7C 29 B5 80 7C EE 1E 80 7C  ????)?|??
00404040 >8D 2C 81 7C AB 14 81 7C A2 CA 81 7C 16 1E 80 7C  ????⑹??
00404050 >0D E0 80 7C 8A 2B 86 7C 57 B3 80 7C 3F DC 81 7C  .?|??W?|??|

为了直观些,在OD数据窗口点击右键,再这样操作:


直接显示出IAT指向的函数:

2006-2-23 08:00
0
wdx
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
wdx
3
谢谢。上述IAT是否指的是刚出内存中脱出来,然后在OD中查看的结果
2006-2-23 10:31
0
mingzewei
雪    币: 200
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谢谢看雪兄了。这个比我知道还直观。很不错。
2006-2-24 16:31
0
wzwgp
雪    币: 333
活跃值: (40)
能力值: ( LV9,RANK:730 )
在线值:
发帖
回帖
粉丝
私信
5
又学一招,谢谢!
2006-2-24 21:49
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//