[求助]请教一个iat修复时的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 2017-8-29 14:33 2 楼 0 dll函数静态调用分两种情况，在IAT加载时体现。一个动态库导出函数可以是名字导出也可以是Hint（相当于函数再动态库中的顺序或者称为索引）导出。 IAT加载判断地址的最高位是否为1。为1时表示该地址为索引值，不为0时表示函数名的地址。使用工具修复的话，会自动识别为索引的。还有一种情况是你的函数地址被偷字节了，一般将地址-2即可显示为正确的名。或者直接跳转到函数地址位置上下可以看出是什么函数。可能有些名词表述不准确，大概是这个意思。
Crimilals 雪币： 41 活跃值： (86) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Crimilals 2017-8-29 18:27 3 楼 0 嗯，谢谢
zplusplus 雪币： 689 活跃值： (427) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 26 关注私信	zplusplus 1 2017-8-29 21:03 4 楼 0 apphelp.dll是系统兼容组件，会HOOK一些函数来兼容老旧软件。最简单的办法是换XP系统修复IAT
Crimilals 雪币： 41 活跃值： (86) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Crimilals 2017-8-30 10:30 5 楼 0 原来还是要装个xp虚拟机啊，哈哈。请问一楼说的地址－2可行不
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (4)
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 2017-8-29 14:33 2 楼 0 dll函数静态调用分两种情况，在IAT加载时体现。一个动态库导出函数可以是名字导出也可以是Hint（相当于函数再动态库中的顺序或者称为索引）导出。 IAT加载判断地址的最高位是否为1。为1时表示该地址为索引值，不为0时表示函数名的地址。使用工具修复的话，会自动识别为索引的。还有一种情况是你的函数地址被偷字节了，一般将地址-2即可显示为正确的名。或者直接跳转到函数地址位置上下可以看出是什么函数。可能有些名词表述不准确，大概是这个意思。
Crimilals 雪币： 41 活跃值： (86) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Crimilals 2017-8-29 18:27 3 楼 0 嗯，谢谢
zplusplus 雪币： 689 活跃值： (427) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 26 关注私信	zplusplus 1 2017-8-29 21:03 4 楼 0 apphelp.dll是系统兼容组件，会HOOK一些函数来兼容老旧软件。最简单的办法是换XP系统修复IAT
Crimilals 雪币： 41 活跃值： (86) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	Crimilals 2017-8-30 10:30 5 楼 0 原来还是要装个xp虚拟机啊，哈哈。请问一楼说的地址－2可行不
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复