用ImportREC修复IAT时, 发现有非法函数, Valid:NO的, 通过显示代码部份如下:
006BC010 68 CEA1FDE5 push E5FDA1CE
006BC015 813424 74607F99 xor dword ptr [esp],997F6074
006BC01C C3 retn
006BC01D 68 AC00127E push 7E1200AC
006BC022 813424 38879002 xor dword ptr [esp],2908738
006BC029 C3 retn
006BC02A 68 53997B7F push 7F7B9953
006BC02F 813424 B817FA03 xor dword ptr [esp],3FA17B8
006BC036 C3 retn
006BC037 68 A313C47F push 7FC413A3
006BC03C 813424 78094403 xor dword ptr [esp],3440978
006BC043 C3 retn
006BC044 68 6C368A7D push 7D8A366C
006BC049 813424 38280801 xor dword ptr [esp],1082838
006BC050 C3 retn
006BC051 68 B853497C push 7C4953B8
006BC056 813424 9839C800 xor dword ptr [esp],C83998
006BC05D C3 retn
已知为加密的跳转, 如
006BC010 68 CEA1FDE5 push E5FDA1CE
006BC015 813424 74607F99 xor dword ptr [esp],997F6074
006BC01C C3 retn
即跳转
JMP [7C82C1BA] ;E5FDA1CE XOR 997F6074 = 7C82C1BA
问题虽然我知道7C82C1BA, 但我找不到函数的名字, 该如何确定这函数名字呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课