[求助]关于dll重定位表移位后的修复-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]关于dll重定位表移位后的修复

发表于: 2008-4-29 09:09 3982

[求助]关于dll重定位表移位后的修复

duron2003

2008-4-29 09:09

3982

00876C88 $- FF25 38048E00 jmp    dword ptr [<&kernel32.GetLocalTi>;  kernel32.GetLocalTime
00876C8E    8BC0       mov    eax, eax
00876C90 $- FF25 34048E00 jmp    dword ptr [<&kernel32.GetLocaleI>;  kernel32.GetLocaleInfoA
00876C96    8BC0       mov    eax, eax
00876C98 $- FF25 30048E00 jmp    dword ptr [<&kernel32.GetModuleF>;  kernel32.GetModuleFileNameA
00876C9E    8BC0       mov    eax, eax
00876CA0 $- FF25 2C048E00 jmp    dword ptr [<&kernel32.GetModuleH>;  kernel32.GetModuleHandleA
00876CA6    8BC0       mov    eax, eax
00876CA8 - FF25 28048E00 jmp    dword ptr [<&kernel32.GetProcAdd>;  kernel32.GetProcAddress
00876CAE    8BC0       mov    eax, eax
00876CB0 $- FF25 24048E00 jmp    dword ptr [<&kernel32.GetProcess>;  kernel32.GetProcessHeap
00876CB6    8BC0       mov    eax, eax
00876CB8 $- FF25 20048E00 jmp    dword ptr [<&kernel32.GetStdHand>;  kernel32.GetStdHandle
00876CBE    8BC0       mov    eax, eax
00876CC0 $- FF25 1C048E00 jmp    dword ptr [<&kernel32.GetStringT>;  kernel32.GetStringTypeExA
00876CC6    8BC0       mov    eax, eax
00876CC8 $- FF25 18048E00 jmp    dword ptr [<&kernel32.GetSystemD>;  kernel32.GetSystemDirectoryA
00876CCE    8BC0       mov    eax, eax
00876CD0 $- FF25 14048E00 jmp    dword ptr [<&kernel32.GetTempPat>;  kernel32.GetTempPathA
00876CD6    8BC0       mov    eax, eax

在00876CA8 - FF25 28048E00 jmp    dword ptr [<&kernel32.GetProcAdd>;  kernel32.GetProcAddress
00876CAE    8BC0       mov    eax, eax
处修改为 jmp 878c7f

在00878c7f 修改为FF25 28048E00 jmp    dword ptr [<&kernel32.GetProcAdd>;  kernel32.GetProcAddress

od中保存所有修改，提示重定位表有修改

然后在LordPE.EXE修正

876CA8 对应重定位表的 RVA 6CAA  偏移60aa

但是C32Asm.exe处6caa对应的不是a83c，请问正确的重定位表移位方法，和如何修正。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (3)
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼如果修正得当，将重定位表里相关数据清掉，就不会再重定位表了。 2008-4-29 10:16 0
duron2003 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	duron2003 3 楼太深奥了，请kanxue明示 2008-4-29 13:23 0
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 4 楼一句话说不清，找PE结构，把重定位表研究一下，不是太复杂。 2008-4-29 13:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

duron2003

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼如果修正得当，将重定位表里相关数据清掉，就不会再重定位表了。 2008-4-29 10:16 0
duron2003 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	duron2003 3 楼太深奥了，请kanxue明示 2008-4-29 13:23 0
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 4 楼一句话说不清，找PE结构，把重定位表研究一下，不是太复杂。 2008-4-29 13:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复