首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]重建输入表时, 7C82C1BA 如何确定其函数名称?
发表于: 2006-7-29 09:38 4038

[求助]重建输入表时, 7C82C1BA 如何确定其函数名称?

赤泪 活跃值
2006-7-29 09:38
4038
用ImportREC修复IAT时, 发现有非法函数, Valid:NO的, 通过显示代码部份如下:
006BC010  68 CEA1FDE5               push E5FDA1CE
006BC015  813424 74607F99           xor dword ptr [esp],997F6074
006BC01C  C3                        retn
006BC01D  68 AC00127E               push 7E1200AC
006BC022  813424 38879002           xor dword ptr [esp],2908738
006BC029  C3                        retn
006BC02A  68 53997B7F               push 7F7B9953
006BC02F  813424 B817FA03           xor dword ptr [esp],3FA17B8
006BC036  C3                        retn
006BC037  68 A313C47F               push 7FC413A3
006BC03C  813424 78094403           xor dword ptr [esp],3440978
006BC043  C3                        retn
006BC044  68 6C368A7D               push 7D8A366C
006BC049  813424 38280801           xor dword ptr [esp],1082838
006BC050  C3                        retn
006BC051  68 B853497C               push 7C4953B8
006BC056  813424 9839C800           xor dword ptr [esp],C83998
006BC05D  C3                        retn

已知为加密的跳转, 如

006BC010  68 CEA1FDE5               push E5FDA1CE
006BC015  813424 74607F99           xor dword ptr [esp],997F6074
006BC01C  C3                        retn

即跳转

JMP [7C82C1BA]   ;E5FDA1CE XOR 997F6074 = 7C82C1BA

问题虽然我知道7C82C1BA, 但我找不到函数的名字, 该如何确定这函数名字呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
softworm
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
私信
2
搜索Lodor写的DirAPI
2006-7-29 09:59
0
赤泪
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
搜索找不到, 是不是在这论坛的~~
2006-7-29 10:34
0
kangaroo
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
4
DirApi by Lordor
没有可以向我索取。Kangaroo104@163.com
2006-7-29 10:52
0
赤泪
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢, 我在网上找到那个程序了~~
2006-7-29 10:52
0
kangaroo
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
6
还有一种简单的方法可以知道函数名,打开OD随便拉个程序进行调试,然后随便找一行修改代码为call 7C82C1BA如果正确定位到该函数,OD就会提示,不过我帮助你这样找过了,该函数地址你应该找错了吧,OD只显示该该地址在Kernel中并没有显示其函数名。(如果地址正确的话,OD是会显示函数名的)
2006-7-29 11:01
0
赤泪
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 kangaroo 发布
还有一种简单的方法可以知道函数名,打开OD随便拉个程序进行调试,然后随便找一行修改代码为call 7C82C1BA如果正确定位到该函数,OD就会提示,不过我帮助你这样找过了,该函数地址你应该找错了吧,OD只显示该该地址在Kernel中并没有显示其函数名。(如果地址正确的话,OD是会显示函数名的)


我下了WINAPI程序, 查 7C82C1BA 是 API 函数是 CloseHandle~~

后面的也相对查到相关函数~~~ 所以我确信我的没有问题~~

同时, 我也找到对这些函数加密的程序段了, 哈哈~~

对于手动脱壳, 越来越有信心了~~
2006-7-29 17:27
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//