[求助]关于DUMP出来的程序，还有一个地方不理解

发表于: 2018-6-6 21:11 4341

[求助]关于DUMP出来的程序，还有一个地方不理解

HeyLXF

活跃值

2018-6-6 21:11

4341

请教各位前辈，关于dump出来的程序还有一个疑惑。

如果我理解没错的话，dump就是把程序在内存中的数据拿下来重新生成一个新的文件，之所以不能运行，是因为程序的导入表仍然是壳的导入表，无法正常填充IAT。那么为什么在dump之前，壳能自己模拟系统填充IAT，而dump出来后壳就无法模拟系统填充IAT了呢？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

分享

最新回复 (4)
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 2 楼这个很简单的，壳申请了一个临时的内存空间来存放这个表，你直接dump出来后，是没有这个数据的譬如 call dword ptr[A10000] // a10000 就是申请了的空间，里面存放了某 API , dump 出来这里就是空的，咋办，一调用就出错啦 2018-6-6 22:54 0
HeyLXF 雪币： 4836 活跃值： (61) 能力值： ( LV4，RANK：45 ) 在线值：发帖 9 回帖 36 粉丝 0 关注私信	HeyLXF 3 楼 dump不是直接从内存里拿数据下来吗，为什么这个内存空间会为空。 2018-6-6 23:33 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 4 楼你还是去多看看基础的原理吧，几句话说不清楚，这些段要你单独制定dump下来，有时候甚至要 dump 很多个补上，这样才能正确运行 2018-6-7 01:24 0
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 5 楼小剑你还是去多看看基础的原理吧，几句话说不清楚，这些段要你单独制定dump下来，有时候甚至要 dump 很多个补上，这样才能正确运行这个问题的确可以开个课来说，也可以调用一部分壳代码，动态加载这部分段，然后把数据拷贝进去，再修改偏移 2018-6-10 12:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

HeyLXF

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//