0x7600db0b 0x76017fce 错误 错误 0x7efde001 0x760171fe 错误 0x7efde001 0x76010c7a 0x76019dac 0x76019dac 0x7601460c 0x770554f9 0x569cf9 0x4b36a2 0x569cfb 0x7600926e 0x7601f54f 0x7601f54f 0x7601e331 0x75d3e4d1 0x75d3e4d1 0x76008e4e 0x77051245
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
采臣·宁 我的想法是,先遍历目标进程所有载入的DLL,再根据7600DB0B这个地址获取到底是哪个DLL的函数,减去DLL载入基址后,再找导出函数表。有现成的库,好象叫titan什么的。
白菜大哥 谢谢。但是又引出了新的问题,比如 push ebp mov ebp,esp这种,vmp会shadow掉前几句代码,很烦。。。
采臣·宁 我想了想,两种方法:一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是:反汇编所有的导出函数,再判断地址在哪个函数区间就行了。
采臣·宁 君子动口不动手,纸上谈兵我可以,用radare2脚本可以很快解决,例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中:
采臣·宁 X64dbgPy插件,在python脚本中引入r2pipe包来获取函数名和地址。