首页
社区
课程
招聘
[求助]求教如何把函数地址的符号字符串。写出来
发表于: 2019-5-8 17:44 7462

[求助]求教如何把函数地址的符号字符串。写出来

2019-5-8 17:44
7462
小弟在脱vmp3.0.8的时候,差最后修复iat。现在已经把他所有被vmp抽走的函数找了回来,只差填充回去,重建iat了。但是遇到个问题。比如,下面是我获取到的函数
0x7600db0b
0x76017fce
错误
错误
0x7efde001
0x760171fe
错误
0x7efde001
0x76010c7a
0x76019dac
0x76019dac
0x7601460c
0x770554f9
0x569cf9
0x4b36a2
0x569cfb
0x7600926e
0x7601f54f
0x7601f54f
0x7601e331
0x75d3e4d1
0x75d3e4d1
0x76008e4e
0x77051245
。如果在x64dbg当中7600db0b的地址,是LoadIcon,可以轻易找到的。但是静态不会找。求教如何自己根据静态文件解析出来。给个思路就好。要解析导出表吗?有没有简便办法

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
我的想法是,先遍历目标进程所有载入的DLL,再根据7600DB0B这个地址获取到底是哪个DLL的函数,减去DLL载入基址后,再找导出函数表。有现成的库,好象叫titan什么的。
2019-5-20 21:38
0
雪    币: 12502
活跃值: (3058)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
采臣·宁 我的想法是,先遍历目标进程所有载入的DLL,再根据7600DB0B这个地址获取到底是哪个DLL的函数,减去DLL载入基址后,再找导出函数表。有现成的库,好象叫titan什么的。
谢谢。但是又引出了新的问题,比如
push ebp
mov ebp,esp这种,vmp会shadow掉前几句代码,很烦。。。
2019-5-21 07:08
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
白菜大哥 谢谢。但是又引出了新的问题,比如 push ebp mov ebp,esp这种,vmp会shadow掉前几句代码,很烦。。。
我想了想,两种方法:一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是:反汇编所有的导出函数,再判断地址在哪个函数区间就行了。
2019-5-21 11:08
1
雪    币: 12502
活跃值: (3058)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
采臣·宁 我想了想,两种方法:一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是:反汇编所有的导出函数,再判断地址在哪个函数区间就行了。
用ida可以确定区间。大佬加个联系方式吗。一起搞。我是最近约妹子没时间写代码,思路已经很清晰了,其实900个函数,自己一个一个也能修复了
2019-5-21 11:31
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
君子动口不动手,纸上谈兵我可以,用radare2脚本可以很快解决,例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中:

最后于 2019-5-21 17:39 被采臣·宁编辑 ,原因:
2019-5-21 17:36
0
雪    币: 12502
活跃值: (3058)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
采臣·宁 君子动口不动手,纸上谈兵我可以,用radare2脚本可以很快解决,例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中:
我勒个去,有这么好的东西。。我本来的思路是,先用x64dbg到了oep,然后用ollymigrate把调试权限传递给ida,利用ida的python拓展来恢复调用信息。
最后于 2019-5-21 18:30 被白菜大哥编辑 ,原因:
2019-5-21 18:28
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
X64dbgPy插件,在python脚本中引入r2pipe包来获取函数名和地址。
2019-5-21 21:56
0
雪    币: 12502
活跃值: (3058)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
采臣·宁 X64dbgPy插件,在python脚本中引入r2pipe包来获取函数名和地址。
更简单的办法,直接ccfexploree和python就可以。。纯静态。。。。
2019-6-1 18:32
0
游客
登录 | 注册 方可回帖
返回
//