zoukankan      html  css  js  c++  java
  • 菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序

    前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK - API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是Magic Jump),将它修改为强制跳转(JMP),使之无法加密IAT,从而达到脱壳修复的目的!
    因为程序的IAT是连续的排列的,所以我们只需要找到IAT的起始位置和末位置,就可以确定IAT的地址和大小!有的IAT是JMP 类型的,有的是CALL类型的,所以,要想确定IAT的地址,就要先知道这个程序是怎样调用IAT的,例如:

    其对应的汇编是CALL DWORD PTR DS:[465198],即直接调用[465198]里的函数,地址465198在IAT中,指向GetVersion函数,我们点击004464F7这句指令,右键,跟随到数据窗口,内存地址!

    此时的465198就是IAT的一部分,可以在数据窗口查看到它的内容:

    我们右键,长型,地址查看:

    这样就可以看到其他的函数的函数名字了:

    我们向上面翻,找到数据为0的dword的间隔,IAT最后是以0结尾的:

    这个加壳程序的IAT的地址是:00464FFC,那么它的大小为:00465698 - 00464FFC = 69C.
    此时就可以利用ImportREC来进行修复了!

    输入程序的OEP和刚刚得到RVA和大小,点击获取输入信息,修复转存,抓取DUMP的程序,进行修复,修复完毕后,运行修复后的程序,程序可以正常的运行:

    注意点:

    1.在ollydbg里面入口处地方,用olldump先将需要dmp的dll或者exe dmp到指定目录

    2.用ImportREC附加需要重定位的exe或者内部的dll,fixdmp时候选择刚刚保存的dll。

    附下载版文章:
    http://www.2cto.com/uploadfile/2012/1205/20121205071819691.zip

  • 相关阅读:
    vip视频播放
    一行Python代码画心型
    使用赫夫曼编码压缩数据
    动态规划与贪婪算法学习笔记
    boost 编写finger服务
    磁盘保护原理简介
    知乎上的一道题目 如何判断某个二进制数如是否存在两位1中间有包含0的情况?
    <Linux多线程服务端编程>学习记录
    Debian8 下面 muduo库编译与使用
    无盘工作站原理分析
  • 原文地址:https://www.cnblogs.com/Fightingbirds/p/3172899.html
Copyright © 2011-2022 走看看