-
-
关于fly脱aspack dll教程的一点疑问
-
2004-12-7 15:36
3749
-
二、输入表 + PE修正
随便从程序找一个API调用,如:
003B10FD FF15 20403B00 call dword ptr ds:[3B4020]; kernel32.GetVersion
在转存中跟随3B4020,上下看到许多函数地址,很明显的可以找到IAT开始和结束的地址:
代码:--------------------------------------------------------------------------------
003B3FF0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
003B4000 1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77 .Q.w.:.w>..w...w
003B40B0 CE 7C E5 77 05 74 E5 77 F9 81 E5 77 EB 41 E4 77 .|.w.t.w...w.A.w
003B40C0 66 C8 E5 77 3E 18 F6 77 00 00 00 00 00 00 00 00 f..w>..w........
--------------------------------------------------------------------------------
开始地址=003B4000
结束地址=003B40C9
------------------------------------------
请问很明显的可以找到IAT开始和结束的地址
这个是怎么看出来的
我模仿你的方法可以脱掉你附件里面的dll
但是我自己去脱别的dll的时候却又不会了
希望能够执教
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开
发者可享99元/年,续费同价!