[己解决]为什么OD与w32dasm得出的IAT不一样？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
烟灰缸雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	烟灰缸 2 楼没人回帖？ 2008-6-19 20:29 0
烟灰缸雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	烟灰缸 3 楼还是没人回啊，自己最后顶一下 2008-6-20 20:25 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼你说的“w32dasm载入”是仅打开notepad.exe，还是用w32dasm调试的加载？如果是打开notepad.exe，看到的IAT是notepad默认的IAT。（notepad.exe 有Bound Import，IAT默认填充了的值，有关Bound Import含义请看PE格式）如果用OllyDBG打开notepad.exe，如果绑定的IAT不对，会重新填充IAT。另外，像kernel32!RestoreLastError的API，系统调用时，会重定向到ntdll!RtlRestoreLastWin32Error 2008-6-20 20:52 0
writer15 雪币： 212 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 98 粉丝 0 关注私信	writer15 5 楼看看老大的<加密与解密第二版>第8章(280页) , 就有说了. 2008-6-20 20:52 0
烟灰缸雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	烟灰缸 6 楼明白了，谢谢看雪老大，回答得简洁、明了。w32dasm只是打开，不是调试。也谢谢5楼的朋友，不过我才涉足这个领域几个月，没有二版的书，打算买三版呢。 2008-6-21 09:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
烟灰缸雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	烟灰缸 2 楼没人回帖？ 2008-6-19 20:29 0
烟灰缸雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	烟灰缸 3 楼还是没人回啊，自己最后顶一下 2008-6-20 20:25 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼你说的“w32dasm载入”是仅打开notepad.exe，还是用w32dasm调试的加载？如果是打开notepad.exe，看到的IAT是notepad默认的IAT。（notepad.exe 有Bound Import，IAT默认填充了的值，有关Bound Import含义请看PE格式）如果用OllyDBG打开notepad.exe，如果绑定的IAT不对，会重新填充IAT。另外，像kernel32!RestoreLastError的API，系统调用时，会重定向到ntdll!RtlRestoreLastWin32Error 2008-6-20 20:52 0
writer15 雪币： 212 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 98 粉丝 0 关注私信	writer15 5 楼看看老大的<加密与解密第二版>第8章(280页) , 就有说了. 2008-6-20 20:52 0
烟灰缸雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	烟灰缸 6 楼明白了，谢谢看雪老大，回答得简洁、明了。w32dasm只是打开，不是调试。也谢谢5楼的朋友，不过我才涉足这个领域几个月，没有二版的书，打算买三版呢。 2008-6-21 09:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复