[求助]有没有关于RebuildImport的函数说明-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 2 楼再把你以前顶过的这篇文章看一下可能有所帮助： http://bbs.pediy.com/showthread.php?s=&threadid=11356&pagenumber=1 2006-4-3 00:16 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 3 楼最初由 CCDebuger* 发布* 再把你以前顶过的这篇文章看一下可能有所帮助： http://bbs.pediy.com/showthread.php?s=&threadid=11356&pagenumber=1 我就是看了这篇文章才产生的疑问哦...在论坛找了找也没有找到详细的说明... 2006-4-3 14:49 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 4 楼 nb_recursion:Limit of the recursion of tracer, if 4 I do not make mistakes. Place 5 (it by default). 2006-4-3 16:57 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 5 楼最初由 Immlep* 发布* nb_recursion:Limit of the recursion of tracer, if 4 I do not make mistakes. Place 5 (it by default). nb_recursion：递归追踪的等级（限制？），如果传递4，那么就不会有错。默认的是置5。不知道，是这么理解吗，这个do not make mistakes是指什么？（修复错误？还是函数出错？）另外还有参数iat_rva，为什么下面的代码置0了呢？ push eax push 5 push 0 push ecx push ProcInfo3.dwProcessId call g_lpRebuildImport ;调用 ImpREC.dll 中的 RebuildImport 函数重建输入表如果能得到这个函数的文档就好了 2006-4-3 17:57 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 6 楼 FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть: FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть: BOOL RebuildImport(DWORD pid, DWORD oep_rva, DWORD iat_rva, DWORD nb_recursion, LPTSTR dump_filename) Не нашел расшифровки параметров. Не понятны iat_rva и nb_recursion. iat_rva видимо rva таблицы импорта. Откуда берется, если пакер проги неизвестен??? И что за nb_recursion??? Очень надеюсь на помощь. Спасибо. MozgC [TSRh] :: IAT_RVA вводится юзером либо ImpRec находит RVA после автопоиска. MozgC [TSRh] :: Подозреваю так же что nb_recursion это количество рекурсий, т.е. сколько раз импрек будет входить в процедуры чтобы распознать функцию. FEUERRADER :: MozgC [TSRh] цитата: IAT_RVA вводится юзером либо ImpRec находит RVA после автопоиска Смотри, процесс останавливается на ОЕР проги, пакованной UPX. Теперь делаю RebuildImport(lppi.dwProcessId, 0x44F390, 0, 1, «dump.exe»); Всё делаю на msvС++. Выходит сообщение Could not find anything good at this OEP. Пробовал rva_oep вводить без imagebase, но резульатат такой же. В чем ошибка-то??? MozgC [TSRh] :: А че ты 0 то суешь вместо IAT_RVA? FEUERRADER :: MozgC пишет: цитата: А че ты 0 то суешь вместо IAT_RVA? Дык я и спрашиваю, мож кто знает, как программно на с++ просто найти iat_rva у прог UPX?? MozgC [TSRh] :: Ты сначала посмотри будет ли работать если туда сувать не 0, а потом будешь думать как iat_rva автоматом найти =) 这就是我google到的东西！ 2006-4-3 17:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 2 楼再把你以前顶过的这篇文章看一下可能有所帮助： http://bbs.pediy.com/showthread.php?s=&threadid=11356&pagenumber=1 2006-4-3 00:16 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 3 楼最初由 CCDebuger* 发布* 再把你以前顶过的这篇文章看一下可能有所帮助： http://bbs.pediy.com/showthread.php?s=&threadid=11356&pagenumber=1 我就是看了这篇文章才产生的疑问哦...在论坛找了找也没有找到详细的说明... 2006-4-3 14:49 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 4 楼 nb_recursion:Limit of the recursion of tracer, if 4 I do not make mistakes. Place 5 (it by default). 2006-4-3 16:57 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 5 楼最初由 Immlep* 发布* nb_recursion:Limit of the recursion of tracer, if 4 I do not make mistakes. Place 5 (it by default). nb_recursion：递归追踪的等级（限制？），如果传递4，那么就不会有错。默认的是置5。不知道，是这么理解吗，这个do not make mistakes是指什么？（修复错误？还是函数出错？）另外还有参数iat_rva，为什么下面的代码置0了呢？ push eax push 5 push 0 push ecx push ProcInfo3.dwProcessId call g_lpRebuildImport ;调用 ImpREC.dll 中的 RebuildImport 函数重建输入表如果能得到这个函数的文档就好了 2006-4-3 17:57 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 6 楼 FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть: FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть: BOOL RebuildImport(DWORD pid, DWORD oep_rva, DWORD iat_rva, DWORD nb_recursion, LPTSTR dump_filename) Не нашел расшифровки параметров. Не понятны iat_rva и nb_recursion. iat_rva видимо rva таблицы импорта. Откуда берется, если пакер проги неизвестен??? И что за nb_recursion??? Очень надеюсь на помощь. Спасибо. MozgC [TSRh] :: IAT_RVA вводится юзером либо ImpRec находит RVA после автопоиска. MozgC [TSRh] :: Подозреваю так же что nb_recursion это количество рекурсий, т.е. сколько раз импрек будет входить в процедуры чтобы распознать функцию. FEUERRADER :: MozgC [TSRh] цитата: IAT_RVA вводится юзером либо ImpRec находит RVA после автопоиска Смотри, процесс останавливается на ОЕР проги, пакованной UPX. Теперь делаю RebuildImport(lppi.dwProcessId, 0x44F390, 0, 1, «dump.exe»); Всё делаю на msvС++. Выходит сообщение Could not find anything good at this OEP. Пробовал rva_oep вводить без imagebase, но резульатат такой же. В чем ошибка-то??? MozgC [TSRh] :: А че ты 0 то суешь вместо IAT_RVA? FEUERRADER :: MozgC пишет: цитата: А че ты 0 то суешь вместо IAT_RVA? Дык я и спрашиваю, мож кто знает, как программно на с++ просто найти iat_rva у прог UPX?? MozgC [TSRh] :: Ты сначала посмотри будет ли работать если туда сувать не 0, а потом будешь думать как iat_rva автоматом найти =) 这就是我google到的东西！ 2006-4-3 17:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复