首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
《加密与解密(第4版)》
发新帖
0
0
[求助]关于手动恢复输入表的问题
发表于: 2009-6-2 22:59
4618
[求助]关于手动恢复输入表的问题
zylwo
2009-6-2 22:59
4618
在书上P339的的表13-4可以看到其中的First Thunk值分别为2000H和200cH,这两个值是如何得到的?(在原程序中可以看到2000H和200cH为First Thunk的未加壳前的值,可是在脱壳后我们要怎样获得未加壳前的值?)
还有就是为什么First Thunk的值不可以改变?(First Thunk所指向的函数地址一起随之改变也不可以)
根据P281对IAT的定义IAT在磁盘上时,其值应该是函数名在磁盘中的地址,而不是实际内存中的地址,可是dump出来后其值变为函数的实际地址,照样能正常运行,请问这是为什么?请指教,谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
kanxue
雪 币:
50161
活跃值:
(20645)
能力值:
(RANK:350 )
在线值:
发帖
2375
回帖
17047
粉丝
552
关注
私信
kanxue
8
2
楼
First Thunk的值,可以通过数据目录表指针来获得,其指向IID结构,你再根据IID定义,就可知道First Thunk的位置了。
dump出的程序能运行,只是在你dump那个系统平台上能运行,你换了个系统平台,函数地址就不对了,运行会出错。
2009-6-3 22:47
0
zylwo
雪 币:
205
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
4
粉丝
0
关注
私信
zylwo
3
楼
谢谢坛主的指教,学习了
2009-6-3 22:54
0
zhushouqqq
雪 币:
214
活跃值:
(11)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
52
粉丝
0
关注
私信
zhushouqqq
4
楼
正好 我也看到这里了
查Reb_IT.exe的输入表等于6000H 转换后的磁盘偏移是800H(没有DUMP) 和书上说的不一样 我是用用winhex查看
DUMP后 磁盘偏移是6000H 用winhex重建后就能运行了。
我不知道我想问什么 但为什么和书上的答案不一样
2009-6-4 16:24
0
zylwo
雪 币:
205
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
4
粉丝
0
关注
私信
zylwo
5
楼
加壳后的是6000h,未加壳的是2014,是不是加壳的原因改变了?书上分析的好像是未加壳前的吧
2009-6-5 06:43
0
zhushouqqq
雪 币:
214
活跃值:
(11)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
52
粉丝
0
关注
私信
zhushouqqq
6
楼
恩 我我也觉得书上分析的是加壳前的。 因为我看了加壳之后的输入表 根本就看不到。
2009-6-5 08:48
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
zylwo
2
发帖
4
回帖
10
RANK
关注
私信
他的文章
[求助]新手请教两个关于获取用户名长度的问题
2669
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部