首页
社区
课程
招聘
[讨论]小菜本人的一个奇怪的思路~是不是可以完全废除输入表呢?
发表于: 2009-5-1 19:48 4220

[讨论]小菜本人的一个奇怪的思路~是不是可以完全废除输入表呢?

2009-5-1 19:48
4220
这几天一直研究《0day》里面的内容~~有了很大的收获,现在想找大家交流一下小弟的一个思路

1.首先,API的地址是我们可以动态定位的的。
2.一些软件经过处理后可以让输入表只剩几个函数。
3。可不可以通过动态定位获得API地址,而不通过输入表呢??

我现在被困扰的问题就是,输入表的工作流程到底是怎么样的?是输入表里面有动态定位API吗?还是说输入表是直接检测系统来对应API的地址呢???

既是求助也是讨论~~真不知道怎么办饿~

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 1098
活跃值: (193)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
2
输入表里最后一个字段是指向IAT的RVA,PE装载器在装载时会把API地址填充入IAT里的。只要自己找到API地址,然后再调用,是可以完全不要导入表的。
2009-5-2 21:06
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
2009-5-2 22:33
0
雪    币: 264
活跃值: (11)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
4
PE载入器在定位 当然你可以自己定位 某些加密壳子就是在完成这一工作 之后废掉原输入表..
2009-5-3 02:33
0
游客
登录 | 注册 方可回帖
返回
//