首页
社区
课程
招聘
[求助]用ImportREC恢复输入表问题
发表于: 2007-4-6 09:40 5203

[求助]用ImportREC恢复输入表问题

2007-4-6 09:40
5203
文件的壳:ASProtect 2.1x SKE -> Alexey Solodovnikov
脱壳工具:OllyICE + Asprotect2.XX IAT fixer v2.2S
脱壳成功后,记录:
           iatstartaddr: 007D7000
           iatstart_rva: 003D7000
           iatsize: 000022B8
0079BD46   当执行 [0079BD46] 时设置内存断点
           OEP_rva: 0039BD46

使用ImportREC1.42,填写信息如下
           OEP:39BD46,RVA:3D7000,size:22B8
获取输入:
           显示有一个Functions为Invalid,相应信息为:rva:003D7C84,ptr:015E7720
           我觉得该函数可能是Kernel32.dll中的一个函数
           
           我的问题是:应该如何查找这个函数的名称?   
        
           我是新手,麻烦大侠们给我点详细的提示阿,非常感谢!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
2
找到这个地址,一直跟踪,就会看到壳代码最终是调用哪一个API的
2007-4-6 13:38
0
雪    币: 201
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
换1.64试试,也许是版本太低了
2007-4-6 15:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
对于2楼:想跟踪这个地址来的,可是如果使用脚本Aspr2.XX_IATfixer_v2.2s调试,等脚本运行起来后,发现已经运行到015E7720后面去了。如果不使用脚本,因为这个被调试程序有防Debugger,所以很快便会退出。所以指针015E7720处的断点该怎么设?还望详细指导俺以下。谢谢了!

对于3楼:1.64版的ImportREC也用过,发现没查找出来的函数更多。这个问题真是非常奇怪,版本低的比高的还好使
2007-4-8 10:03
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
5
后面就后面

有地址,就可以直接修改EIP

如果你不懂修改。。。我只能说把OD学好再脱壳了
2007-4-8 11:44
0
游客
登录 | 注册 方可回帖
返回
//