[求助]求教如何把函数地址的符号字符串。写出来-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 2 楼我的想法是，先遍历目标进程所有载入的DLL，再根据7600DB0B这个地址获取到底是哪个DLL的函数，减去DLL载入基址后，再找导出函数表。有现成的库，好象叫titan什么的。 2019-5-20 21:38 0
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 3 楼采臣·宁我的想法是，先遍历目标进程所有载入的DLL，再根据7600DB0B这个地址获取到底是哪个DLL的函数，减去DLL载入基址后，再找导出函数表。有现成的库，好象叫titan什么的。谢谢。但是又引出了新的问题，比如 push ebp mov ebp,esp这种，vmp会shadow掉前几句代码，很烦。。。 2019-5-21 07:08 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 4 楼白菜大哥谢谢。但是又引出了新的问题，比如 push ebp mov ebp,esp这种，vmp会shadow掉前几句代码，很烦。。。我想了想，两种方法：一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是：反汇编所有的导出函数，再判断地址在哪个函数区间就行了。 2019-5-21 11:08 1
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 5 楼采臣·宁我想了想，两种方法：一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是：反汇编所有的导出函数，再判断地址在哪个函数区间就行了。用ida可以确定区间。大佬加个联系方式吗。一起搞。我是最近约妹子没时间写代码，思路已经很清晰了，其实900个函数，自己一个一个也能修复了 2019-5-21 11:31 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 6 楼君子动口不动手，纸上谈兵我可以，用radare2脚本可以很快解决，例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中：最后于 2019-5-21 17:39 被采臣·宁编辑，原因： 2019-5-21 17:36 0
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 7 楼采臣·宁君子动口不动手，纸上谈兵我可以，用radare2脚本可以很快解决，例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中：我勒个去，有这么好的东西。。我本来的思路是，先用x64dbg到了oep，然后用ollymigrate把调试权限传递给ida，利用ida的python拓展来恢复调用信息。最后于 2019-5-21 18:30 被白菜大哥编辑，原因： 2019-5-21 18:28 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼 X64dbgPy插件，在python脚本中引入r2pipe包来获取函数名和地址。 2019-5-21 21:56 0
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 9 楼采臣·宁 X64dbgPy插件，在python脚本中引入r2pipe包来获取函数名和地址。更简单的办法，直接ccfexploree和python就可以。。纯静态。。。。 2019-6-1 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 2 楼我的想法是，先遍历目标进程所有载入的DLL，再根据7600DB0B这个地址获取到底是哪个DLL的函数，减去DLL载入基址后，再找导出函数表。有现成的库，好象叫titan什么的。 2019-5-20 21:38 0
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 3 楼采臣·宁我的想法是，先遍历目标进程所有载入的DLL，再根据7600DB0B这个地址获取到底是哪个DLL的函数，减去DLL载入基址后，再找导出函数表。有现成的库，好象叫titan什么的。谢谢。但是又引出了新的问题，比如 push ebp mov ebp,esp这种，vmp会shadow掉前几句代码，很烦。。。 2019-5-21 07:08 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 4 楼白菜大哥谢谢。但是又引出了新的问题，比如 push ebp mov ebp,esp这种，vmp会shadow掉前几句代码，很烦。。。我想了想，两种方法：一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是：反汇编所有的导出函数，再判断地址在哪个函数区间就行了。 2019-5-21 11:08 1
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 5 楼采臣·宁我想了想，两种方法：一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是：反汇编所有的导出函数，再判断地址在哪个函数区间就行了。用ida可以确定区间。大佬加个联系方式吗。一起搞。我是最近约妹子没时间写代码，思路已经很清晰了，其实900个函数，自己一个一个也能修复了 2019-5-21 11:31 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 6 楼君子动口不动手，纸上谈兵我可以，用radare2脚本可以很快解决，例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中：最后于 2019-5-21 17:39 被采臣·宁编辑，原因： 2019-5-21 17:36 0
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 7 楼采臣·宁君子动口不动手，纸上谈兵我可以，用radare2脚本可以很快解决，例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中：我勒个去，有这么好的东西。。我本来的思路是，先用x64dbg到了oep，然后用ollymigrate把调试权限传递给ida，利用ida的python拓展来恢复调用信息。最后于 2019-5-21 18:30 被白菜大哥编辑，原因： 2019-5-21 18:28 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼 X64dbgPy插件，在python脚本中引入r2pipe包来获取函数名和地址。 2019-5-21 21:56 0
白菜大哥雪币： 12502 活跃值： (3058) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 9 楼采臣·宁 X64dbgPy插件，在python脚本中引入r2pipe包来获取函数名和地址。更简单的办法，直接ccfexploree和python就可以。。纯静态。。。。 2019-6-1 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复