-
-
[讨论]写壳习作 + 请教
-
发表于: 2009-9-7 16:43
-
放个记事本大家试试,OEP比较好找,主要是处理了一下输入表,大家指点一下。
另外有个问题,输入表中有一些函数,填入IAT的实际是个指针,指向另一个函数的地址,比如记事本的这里
0100131C >77C317AC offset msvcrt._acmdln
01001320 >77BEEEEB msvcrt.__getmainargs
01001324 >77C09D67 msvcrt._initterm
01001328 >77C1D695 msvcrt.__setusermatherr
0100132C >77C323D8 offset msvcrt._adjust_fdiv
这两个函数msvcrt._acmdln 和 msvcrt._adjust_fdiv,存的是offset,这种如果改掉IAT的地址再jmp过去就会出错,因为指向的不是函数。不知对于这样的函数如何判断,似乎VC的程序有这样的,delphi的好像没有
另外有个问题,输入表中有一些函数,填入IAT的实际是个指针,指向另一个函数的地址,比如记事本的这里
0100131C >77C317AC offset msvcrt._acmdln
01001320 >77BEEEEB msvcrt.__getmainargs
01001324 >77C09D67 msvcrt._initterm
01001328 >77C1D695 msvcrt.__setusermatherr
0100132C >77C323D8 offset msvcrt._adjust_fdiv
这两个函数msvcrt._acmdln 和 msvcrt._adjust_fdiv,存的是offset,这种如果改掉IAT的地址再jmp过去就会出错,因为指向的不是函数。不知对于这样的函数如何判断,似乎VC的程序有这样的,delphi的好像没有
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
