前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK - API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是Magic Jump),将它修改为强制跳转(JMP),使之无法加密IAT,从而达到脱壳修复的目的!
因为程序的IAT是连续的排列的,所以我们只需要找到IAT的起始位置和末位置,就可以确定IAT的地址和大小!有的IAT是JMP 类型的,有的是CALL类型的,所以,要想确定IAT的地址,就要先知道这个程序是怎样调用IAT的,例如:
其对应的汇编是CALL DWORD PTR DS:[465198],即直接调用[465198]里的函数,地址465198在IAT中,指向GetVersion函数,我们点击004464F7这句指令,右键,跟随到数据窗口,内存地址!
此时的465198就是IAT的一部分,可以在数据窗口查看到它的内容:
我们右键,长型,地址查看:
这样就可以看到其他的函数的函数名字了:
我们向上面翻,找到数据为0的dword的间隔,IAT最后是以0结尾的:
这个加壳程序的IAT的地址是:00464FFC,那么它的大小为:00465698 - 00464FFC = 69C.
此时就可以利用ImportREC来进行修复了!
输入程序的OEP和刚刚得到RVA和大小,点击获取输入信息,修复转存,抓取DUMP的程序,进行修复,修复完毕后,运行修复后的程序,程序可以正常的运行:
注意点:
1.在ollydbg里面入口处地方,用olldump先将需要dmp的dll或者exe dmp到指定目录
2.用ImportREC附加需要重定位的exe或者内部的dll,fixdmp时候选择刚刚保存的dll。
附下载版文章:
http://www.2cto.com/uploadfile/2012/1205/20121205071819691.zip