您当前的位置:JZ5U绿色下载站文章中心设计学院Photoshop → 文章内容
  • 图解IAT的修复技巧心得

【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  正在努力学习,高手请缓缓飘移 ~~~~
  其实自己对IAT的了解甚少,只知道一些软件在脱壳后不能运行,需要用ImportREC来修复IAT。今天有幸看到高人Nisy的一个爆破视频,多少对IAT有了进一步的了解,而且学到一招,通过OD查找脱壳后文件的IAT的大小来修复IAT,达到完整修复文件的目的。
  一个叫伤心黑白棋的小软件,查壳 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo,看似非常简单的一个壳,用UPXShell脱,失败!用超级巡警脱,等了半天,死机!我靠,怎么搞?用OD载入,ESP定律很快来到OEP,右键Dump,连OD也死掉,什么牛B壳,不就是个UPX吗,怎么几种方法都不行呢? 理论上这只是个压缩壳而已,没有什么反调试动作。第一反应是,可能文件被压缩得太厉害,解压后的文件可能很大以致在DUMP的过程中,内存被耗尽而死机。后来发现一个更好的Dump的方法,直接用LordPE来转储。这种方法速度极快,超爽!


  方法很简单,用OD来到OEP地址,打开LordPE,选中进程,右键第一个菜单转储保存,2秒就搞定。但转储出来的不能运行,于是用ImportREC修复。

默认自动搜索IAT的结果是IAT的大小为1B0,这个大小是错误的,导致修改后的文件仍然无法运行,需要手动获得,方法如下:

上以获得IAT首地址

以上获得IAT末地址。

用ImportREC查得 IAT的首地址在019880E8  末地址在:01988DC0 ,可知IAT大小=01988DC0 -019880E8 =00000CD8
把结果00000CD8填入ImportREC的IAT大小框里,点获取输入表,此时可看到获得的输入表比刚才那个IAT大小获得的要多很多,最后点修复抓取文件即可。
最后再次感觉Nisy高人的视频演示让我学到了新东西。呵呵 ~~


  • 作者:互联网  来源:本站整理  发布时间:2008-08-30 11:27:38


------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------