首页
社区
课程
招聘
关于AM3.6主程序脱壳的疑问
发表于: 2004-8-18 06:48 6080

关于AM3.6主程序脱壳的疑问

2004-8-18 06:48
6080
大家好,想请教一下关于AM3.6主程序的问题 已成功dump,IAT找到了,用imp1.6找到了所有函数 正确了 但iat的位置在00ffXXXX 这个范围 不在文件内存处理范围内啊 怎么办呢?找到函数之后我用imp1.6修正dump文件时提示IAT的rav太大了 dump中很多call 00ffxxxx 这样的地方超出文件内存映象处理,怎么办呢? 我尝试过将iat放到004XXXXX 这样的有效范围内 然后更改call 00ffxxxx为 call 004XXXXX 结果运行失败。
关于这个IAT的位置在外面的问题要如何解决呢?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (15)
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
如果你确定你的IAT处理是正确的,可以直接在DUMP出在文件后建一个区段,增加空间,并且把RVA改成00FFX000-基址,这样用IMP修复时就不会提示IAT过大了。当然把IAT改在4XXXXXX也可以,估计出错的原因是没有处理好IAT的(当然也可能是CC没处理或者抽掉的代码没补上)。
2004-8-18 07:14
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
3
最初由 jwh51 发布
并且把RVA改成00FFX000-基址


佩服,连这都想得到...
2004-8-18 07:32
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
最初由 forgot 发布


佩服,连这都想得到...

我以前脱3.6的主程序就是这样做的:p
2004-8-18 08:19
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
5
也有简单的解决方法
2004-8-18 09:13
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
6
最初由 fxyang 发布
也有简单的解决方法

不说打PP
2004-8-18 09:16
0
雪    币: 217
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
to fxyang  简单方法是什么???
2004-8-18 11:08
0
雪    币: 180
活跃值: (59)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
骨灰你是江阴的吗?我也是,怎么联系?
2004-8-18 11:19
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
9
呵呵,可以自己控制它的写入地址呀
2004-8-18 11:43
0
雪    币: 217
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
联系 为何要联系我 你的QQ是多少 
2004-8-18 11:48
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
最初由 fxyang 发布
呵呵,可以自己控制它的写入地址呀

标准壳很好控制,改一个值就可以了,COPYMEMEII我不知如何控制。还望fxyang说说。copymemii我都是DUMP以后来改的。
2004-8-18 13:03
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
12
最初由 jwh51 发布

标准壳很好控制,改一个值就可以了,COPYMEMEII我不知如何控制。还望fxyang说说。copymemii我都是DUMP以后来改的。


COPYMEMEII的经过OpenMutexA后不就是单进程的了。只不过代码的修复要自己处理一下。
另外新的arm版本有了偷字节功能了。所以COPYMEMEII的有时直接dump后也不能正常运行。还是要变成单进程才行。
2004-8-18 14:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
change the address of the IAT is easy..
the problem is getting the valid IAT using imprec...
because all IAT is mixed with other api....
2004-8-18 15:10
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
原来骨灰不是会脱吗
2004-8-18 20:20
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
15
我也来问个关于脱copymemii壳时的问题,那是在找加密函数调用时的一个方法,在OD中,Shift+F4,打开了conditional log窗口,在Exprssion里输入"[ESP+4]",记不清了,好像输入的不是这个,反正是个ESP+什么东东的行式,对于这步操作我不理解是什么意思,请大家帮忙解答.
另:OD有没有中文版式的帮助文件呢,对于OD里的很多功能都不会用啊
2004-8-18 21:17
0
雪    币: 209
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
TT小组正在翻译中啊。
2004-8-19 08:25
0
游客
登录 | 注册 方可回帖
返回
//