[分享]手动查找IAT出错之后。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]手动查找IAT出错之后。。

发表于: 2008-12-20 16:17 8272

[分享]手动查找IAT出错之后。。

李敬利

2008-12-20 16:17

8272

.....
004063E8 7C810082 kernel32.GlobalUnlock
004063EC 7C839418 kernel32._lread
004063F0 7C810119 kernel32.GlobalLock
004063F4 7FFFFFFF
004063F8 7D646F10 SHELL32.DragFinish
004063FC 7D6322AA SHELL32.ShellAboutA
00406400 7D610E18 SHELL32.ShellExecuteA
00406404 7D5FAEA8 SHELL32.DragAcceptFiles
00406408 7D6887A2 SHELL32.SHGetSpecialFolderPathA
0040640C 7D646F21 SHELL32.DragQueryFileA
00406410 7FFFFFFF
00406414 77D1A8AD USER32.wsprintfA
00406418 77D3023D USER32.CloseClipboard
0040641C 77D2F13E USER32.IsClipboardFormatAvailable
.....

004062CC 00000000
004062D0 00000000
004062D4 00000000
004062D8 00000000
004062DC 00000000
004062E0 00000000
004062E4 77DA7883 ADVAPI32.RegQueryValueExA
004062E8 77DA6BF0 ADVAPI32.RegCloseKey
004062EC 77DAEBE7 ADVAPI32.RegSetValueExA
004062F0 77DCC41B ADVAPI32.RegOpenKeyA
004062F4 77DCD5BB ADVAPI32.RegCreateKeyA
004062F8 FFFFFFFF
004062FC 77EF8C33 GDI32.GetObjectA

004064EC 77D1B5F5 USER32.InvalidateRect
004064F0 77D1DBEC USER32.MoveWindow
004064F4 77D20F90 USER32.CharNextA
004064F8 77D1BE27 USER32.IsIconic
004064FC 77D21211 USER32.PostQuitMessage
00406500 77D2FA9C USER32.TranslateAcceleratorA
00406504 7FFFFFFF
00406508 7632311E
0040650C 7633C289
00406510 7633867C
00406514 763447B1
00406518 76337CD8
0040651C 763300CE
00406520 76322533

00402125 |. 50 |push eax
00402126 |. FF35 E8554000 |push dword ptr [4055E8]
0040212C |. FF35 00504000 |push dword ptr [405000]
00402132 |. FF15 00654000 |call dword ptr [406500] ;就是这里出错的
00402138 |. 85C0 |test eax, eax
0040213A |. 75 14 |jnz short 00402150

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.JPG （28.81kb，338次下载）
3.JPG （11.13kb，335次下载）

收藏・3

免费・7

支持

最新回复 (9)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼手动查找还原IID才是王道 2008-12-20 16:28 0
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	李敬利 2 3 楼还没听说过 IID的结构是很复杂啊，不知道怎么修复和IAT差不多吗？逆推回去？ 2008-12-20 16:53 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 4 楼 ImpotREC不就是通过 IAT修复 iid的吗？我理解错了？回头再看看资料.... 2008-12-20 19:41 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼文章写的不错:) 2008-12-20 20:27 0
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	李敬利 2 6 楼哦 ImpotREC是通过 IAT修复 iid的以前没想过现在觉得应该是怎样的。呵呵学习了 2008-12-20 21:16 0
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	李敬利 2 7 楼呵呵谢谢 2008-12-20 21:19 0
pojieing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pojieing 8 楼学习了~~~不错请问那个搜索什么软件写的都是FF15或者FF25啊 2008-12-22 12:41 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 9 楼楼主的文章很不错论坛门口那篇文章有误导的可能，计算IAT大小那个地方，不知道结尾是算的0区域的起始地址，还是0区域起始位置的上一个地址（文中截图没有显示出IAT末尾）我当初就理解为0区域起始位置的上一个地址，结果有次修复未成功，将大小+4再修复，就成功了 2008-12-22 13:47 0
cnhk 雪币： 203 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	cnhk 10 楼谢谢你的文章获益了 2009-5-30 21:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

李敬利

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼手动查找还原IID才是王道 2008-12-20 16:28 0
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	李敬利 2 3 楼还没听说过 IID的结构是很复杂啊，不知道怎么修复和IAT差不多吗？逆推回去？ 2008-12-20 16:53 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 4 楼 ImpotREC不就是通过 IAT修复 iid的吗？我理解错了？回头再看看资料.... 2008-12-20 19:41 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼文章写的不错:) 2008-12-20 20:27 0
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	李敬利 2 6 楼哦 ImpotREC是通过 IAT修复 iid的以前没想过现在觉得应该是怎样的。呵呵学习了 2008-12-20 21:16 0
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	李敬利 2 7 楼呵呵谢谢 2008-12-20 21:19 0
pojieing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pojieing 8 楼学习了~~~不错请问那个搜索什么软件写的都是FF15或者FF25啊 2008-12-22 12:41 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 9 楼楼主的文章很不错论坛门口那篇文章有误导的可能，计算IAT大小那个地方，不知道结尾是算的0区域的起始地址，还是0区域起始位置的上一个地址（文中截图没有显示出IAT末尾）我当初就理解为0区域起始位置的上一个地址，结果有次修复未成功，将大小+4再修复，就成功了 2008-12-22 13:47 0
cnhk 雪币： 203 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	cnhk 10 楼谢谢你的文章获益了 2009-5-30 21:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复