能力值:
(RANK:410 )
|
-
-
2 楼
是调试什么程序都出现这样的情况?还是调试壳或调试某些软件才出现这样的情况?有些壳或某些软件会在检测到OD时能把原版和大部分修改过的OD杀掉。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我在脱Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks
这个壳的时候这样的
ICE为什么能用呢?汉化反而用不来了。
再问个基础问题
IAT地址何为开始 何为结束?
要怎么来分辨开始和结束的?
|
能力值:
(RANK:410 )
|
-
-
4 楼
那就难怪了,Arm有一个Anti,是利用OD的格式化字符串漏洞来反OD的,原版OD和大部分OD都有这个漏洞,而OllyICE已将这个漏洞去除了。
一般是在程序里找到调用API的地址,然后往上和往下找,往上找到全0的一般就是IAT开始地址,往下找到全0的一般就是IAT结束地址。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
哪这个方法找出来的IAT地址是否可用?
(下面找IAT地址的方法也和FLY的不一样,大家注意看!)
现在我们再次ALT+M
---------------------------------------------------------------
00870000 00001000 KingFor3 00870000 (itself) PE header
00871000 0008B000 KingFor3 00870000 CODE
008FC000 00002000 KingFor3 00870000 DATA
008FE000 00001000 KingFor3 00870000 BSS
008FF000 00003000 KingFor3 00870000 .idata <--这里,双击,可以看到数据
---------------------------------------------------------------
008FF000 00 00 00 00 00 00 00 00 00 00 00 00 20 F8 08 00 ............ ?.
008FF010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
008FF020 E0 FA 08 00 00 00 00 00 00 00 00 00 00 00 00 00 帔.............
008FF030 00 00 00 00 26 FB 08 00 00 00 00 00 00 00 00 00 ....&?.........
008FF040 00 00 00 00 00 00 00 00 66 FB 08 00 00 00 00 00 ........f?.....
008FF050 00 00 00 00 00 00 00 00 00 00 00 00 AE FB 08 00 ............?.
008FF060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
008FF070 08 FC 08 00 00 00 00 00 00 00 00 00 00 00 00 00 ?.............
008FF080 00 00 00 00 7A FC 08 00 00 00 00 00 00 00 00 00 ....z?.........
008FF090 00 00 00 00 00 00 00 00 24 02 09 00 00 00 00 00 ........$......
008FF0A0 00 00 00 00 00 00 00 00 00 00 00 00 72 02 09 00 ............r..
008FF0B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
008FF0C0 0C 07 09 00 00 00 00 00 00 00 00 00 00 00 00 00 ...............
008FF0D0 00 00 00 00 A4 11 09 00 00 00 00 00 00 00 00 00 ....?..........
008FF0E0 00 00 00 00 00 00 00 00 BA 11 09 00 00 00 00 00 ........?......
008FF0F0 00 00 00 00 00 00 00 00 00 00 00 00 C8 12 09 00 ............?..
008FF100 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
008FF110 02 13 09 00 00 00 00 00 00 00 00 00 00 00 00 00 ..............
008FF120 00 00 00 00 30 13 09 00 00 00 00 00 00 00 00 00 ....0..........
008FF130 00 00 00 00 00 00 00 00 3E 15 09 00 00 00 00 00 ........>......
008FF140 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
008FF150 00 00 00 00 8A 18 93 7C ED 10 92 7C 05 10 92 7C ....????? 〈-这里就是IAT开始地址
008FF160 A1 9F 80 7C 14 9B 80 7C 81 9A 80 7C 5D 99 80 7C ???|??]?| 地址为8FF154
008FF170 BD 99 80 7C AC 92 80 7C 17 A4 80 7C AB 14 81 7C ?????|??
008FF180 37 97 80 7C 94 97 80 7C 7B 97 80 7C 59 B8 80 7C 7?|??{?|Y?|
008FF190 C7 A0 80 7C AD 9C 80 7C E0 C6 80 7C 11 03 81 7C 沁???嗥??
008FF1A0 4F 1D 80 7C 05 A4 80 7C EE 1E 80 7C 28 AC 80 7C O??|??(?|
008FF1B0 29 B5 80 7C 57 B3 80 7C 7E D4 80 7C 8D 2C 81 7C )?|W?|~?|??
---------------------------------------------------------------
好了,下面我们用ImportREC选取这个.dll,填入RVA=8FF154-400000=4FF154、大小如果你不确定
的话,就写1000好了
(这里ImportREC的设置,我们这里和FLY的也不一样,选中“使用来自磁盘的PE首部”)
为什么RVA是8FF154-400000=4FF154呢?因为这个时候ImportREC里显示的“镜像基址”为400000
|
能力值:
(RANK:410 )
|
-
-
6 楼
IAT的开始地址是008FF154
8FF154-400000是等于4FF154
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
小虾斑竹 你能帮我看看我 另外那个帖子吗?
我用那个方法 脱了壳 但是修复后 我点重建PE
重建完成。。。
当前文件大小。。。
文件最小化到。。。
重建输入表,发现无效的RVA
使PE有效完成。。。
为什么这里会是无效的RVA?
我在使用 ImportREC 获取输入表 时 剪切无效指针后 提示操作完成
修复转存文件 提示正常
然后 我用PEID 查壳显示 Nothing found *
设置PEID选项 核心扫描 显示:Microsoft Visual C++ 5.0
用armadillo 加壳时提示 出错:该文件已经加壳
|
能力值:
(RANK:50 )
|
-
-
8 楼
好强悍的 小虾 来我帖子分析下 有几个人头都大了 哈哈
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
又有新问题了:
哪位大侠帮帮忙
如何获得RVA地址?
|
|
|