首页
社区
课程
招聘
[原创]x64dbg---Scylla
发表于: 2023-7-15 07:46 8613

[原创]x64dbg---Scylla

2023-7-15 07:46
8613

dc3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6^5y4U0c8V1j5X3N6Q4x3V1k6e0j5%4W2D9L8r3p5`.
Scylla是x64dbg内置的插件,不需要自己安装,可用于dump进程,导入表修复。

正常流程:

第4步的 IAT Autosearch 有2种模式: advanced search, normal search, 看哪种找到的导入表项多就选哪个,可以都试一下,重试之前记得在Imports框的右下角点一下 Clear

如果 IAT Autosearch 遇到问题,做如下操作:

如果 Get Imports 遇到问题,可能会遇到一些无效的导入表项,解决方法如下:
Imports 的左下角,点击 Show Invalid, 然后在 Imports 里选中无效的项,右键 Cut thunk 即可

  1. 调试器运行相应程序到oep
  2. 插件 -> Scylla, 打开该插件
  3. 右下角 Dump -> Dump, 使用Scylla dump进程
  4. 左下角 IAT Info 中,依次点击 IAT Autosearch, Get Imports 找到并获取导入表
  5. 右下角 Dump -> Fix Dump, 选择第3步dump出的文件,即可修复导入表
  1. 如果视野中有明显的api调用,就找到对应行,右键 内存转到call的目标函数地址,选择显示模式为'地址';如果没有,可以右键查看模块间的函数调用,任意找一个系统函数,回车到代码区域,继续做之前的操作
  2. 向上翻可以找到api地址名称映射的开头(VA),界定是否为开头,就是看看前面还有没有api地址名称映射
  3. 翻到最下面计算Size(下面减去上面),比如第1条的地址是0x414000, 最后一条的地址是0x4143B4, 那Size就是0x4143B4-0x414000+4=0x3B8
  4. 在Scylla的 IAT Info 中手动填写 VA 和 Size, 之后就可以继续正常流程第4步中的 Get Imports 操作了
  • 调试器运行相应程序到oep

  • [招生]系统0day安全-IOT设备漏洞挖掘(第6期)!

    收藏
    免费 1
    支持
    分享
    最新回复 (1)
    雪    币: 9
    活跃值: (449)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    2

    nice

    最后于 2024-6-11 01:01 被杨开银编辑 ,原因:
    2024-6-10 23:53
    0
    游客
    登录 | 注册 方可回帖
    返回