[求助]手动脱壳的时候为什么要修复导入表-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼你要将PE格式理解透就明白了。参考PE文档，阅读此篇文章： http://bbs.pediy.com/showpost.php?p=143576&postcount=10 2009-4-10 16:51 0
gaoqing 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 118 回帖 376 粉丝 0 关注私信	gaoqing 3 楼我感觉是不是这样的。。。。。。。。。。。。因为,当脱壳时，你相当于将一些执行代码从原来的执行程序中删掉了，那么对于你的执行文件来说，其相对执行文件头的偏移全发生了变化， 2009-4-10 17:08 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼壳执行后，内存中有一张完整的IAT表，EXE通过这个IAT就可正常运行了。内存Dump后，只得到了这个IAT，这个IAT与当前系统有关，即调用地址是固定的，如在SP3系统上USER32.MessageBoxA是77D507EA ，如果Dump的程序换个其他系统，如Win2000或XP SP2,这个地址就不对了。所以，需要根据IAT，重建一张完整的输入表。以便让PE文件运行时，能根据函数名生成一张正确的IAT表。 2009-4-10 17:15 0
woosheep 雪币： 11 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	woosheep 5 楼雪老大的讲解就是透彻 .. 2009-4-10 17:33 0
gswxy 雪币： 218 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	gswxy 6 楼老大分析的透彻，学习了！！ 2009-4-11 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼你要将PE格式理解透就明白了。参考PE文档，阅读此篇文章： http://bbs.pediy.com/showpost.php?p=143576&postcount=10 2009-4-10 16:51 0
gaoqing 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 118 回帖 376 粉丝 0 关注私信	gaoqing 3 楼我感觉是不是这样的。。。。。。。。。。。。因为,当脱壳时，你相当于将一些执行代码从原来的执行程序中删掉了，那么对于你的执行文件来说，其相对执行文件头的偏移全发生了变化， 2009-4-10 17:08 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼壳执行后，内存中有一张完整的IAT表，EXE通过这个IAT就可正常运行了。内存Dump后，只得到了这个IAT，这个IAT与当前系统有关，即调用地址是固定的，如在SP3系统上USER32.MessageBoxA是77D507EA ，如果Dump的程序换个其他系统，如Win2000或XP SP2,这个地址就不对了。所以，需要根据IAT，重建一张完整的输入表。以便让PE文件运行时，能根据函数名生成一张正确的IAT表。 2009-4-10 17:15 0
woosheep 雪币： 11 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	woosheep 5 楼雪老大的讲解就是透彻 .. 2009-4-10 17:33 0
gswxy 雪币： 218 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	gswxy 6 楼老大分析的透彻，学习了！！ 2009-4-11 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复