[讨论]打IAT表的主意-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]打IAT表的主意

发表于: 2008-8-25 19:24 5309

[讨论]打IAT表的主意

llydd

活跃值

9

2008-8-25 19:24

5309

这个IAT表是BOUND IAT，如果存在BOUND　IAT表，且校验信息无误的话PE加载器就不会填充IAT表了，磁盘上的IAT数据是多少在内存中就是多少,修改你关注的函数 IAT对应的数据为你预设置的SHELL的VA就可以叉叉了

但是一旦TIMESTAMP检查失败IAT表就被填充了．

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・1

免费

支持

分享

最新回复 (7)
llydd 雪币： 380 活跃值： (106) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 2 楼很有局限性． 2008-8-25 19:25 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 3 楼 OriginalFirstThunk，没用的，发现api地址不对,就会更新。 2008-8-25 19:47 0
llydd 雪币： 380 活跃值： (106) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 4 楼修改FirstThunk便可，由于各系统kernel32.dll的timestamp不同，可能我上传的附件大家运行不了，所以就不传了，只传个图，这是修改后notepad的导入表，用peid查看便可，用lordpe查看显示的是OriginalFirstThunk指向的原始表．上传的附件：新建 BMP 图像.JPG （29.88kb，243次下载） 2008-8-25 19:59 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 25 关注私信	笨笨雄 14 5 楼 LZ很闲....想搞感染病毒? 2008-8-25 20:17 0
llydd 雪币： 380 活跃值： (106) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 6 楼从你给的那个加坏了壳的东东想到的 2008-8-25 20:25 0
海风月影雪币： 7327 活跃值： (3813) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2310 粉丝 123 关注私信	海风月影 22 7 楼去掉Bound　Import表 2008-8-25 23:42 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼是想发棵修复IAT乱序？ 2008-8-26 10:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

llydd

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区