加壳程序无法准确读输入表的解决办法

最新推荐文章于 2021-02-22 16:54:18 发布
最新推荐文章于 2021-02-22 16:54:18 发布
阅读量281 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/101347523
版权

这是我自己写的一个简单程序,放到PE工具里观察输入表:
在这里插入图片描述
然后我们随便用一个加壳工具给原本的程序加壳,再次观察它的输入表内容,发现已经有了变化(少了很多):
在这里插入图片描述
所以我们就要尝试脱壳,读取它正确的输入表内容,下面以 “租号玩.exe”(假的) 这个程序为例。首先用 PE 工具查壳,发现是 UPX(顿时有了信心 ? )
在这里插入图片描述用 OD 打开 租号玩.exe ,选择 “否”
在这里插入图片描述我们尝试使用 ESP 定律法脱壳,留意 ESP 的值:
在这里插入图片描述
单步 F8 一次,发现 ESP 有变化:
在这里插入图片描述
数据窗口中跟随 ESP,在这个地址下硬件访问断点:
在这里插入图片描述
F9 运行程序,在如下位置断下:
(留意我下断点的红色地方,这个 jmp 是一个大跳转,很可疑)
在这里插入图片描述
记录下 jmp 的地址,到内存窗口看下,发现这个地址位于 .text区段,说明这里就很可能跳转到了 OEP。
在这里插入图片描述

在这里插入图片描述

跟进去看一看,发现果然是 OEP 的样子:
在这里插入图片描述
然后我们就可以保存找到的 OEP 位置了,在反汇编窗口右键 - 用 OllyDump 脱壳调试进程 - 脱壳。
在这里插入图片描述
再次使用 PE 工具观察,发现已经脱壳成功,而输入表也恢复了正常:
在这里插入图片描述

(-: LYSM :-)
关注
专栏目录
基于XGBoost与Stacking融合模型的恶意程序多分类检测方法.docx
06-17
本文提出了一种基于XGBoost与Stacking融合模型的恶意程序多分类检测方法,旨在解决现有方法存在的问题,如特征单一、检测效率低下等。通过综合应用数据预处理、特征选择与创建以及Stacking融合模型等技术手段,该...
获取任意一个程序输入
追逐梦想,无悔青春
05-27 643
// testPE.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include /************************************************************************/ /* 函数名:RVAToOffset /* 函数功能:根据RVA计算出磁盘文件偏移 /* 函数参数: lpBase:磁盘
dll注入器_输入注入
weixin_39654436的博客
11-04 718
前言昨天没有讲拿破轮胎大佬工具的原理,同时工具生成的DLL目前不是免杀的。所以这里讲一下工具的原理。实际上,注入工具会将输入的shellcode进行一个处理,然后将他写入到和 conf.inf文件中,然后 wwwcomw.dll可以看成一个shellcode加载器,这里就是分离免杀的原理。工具还帮我完成了修改输入的步骤。然后我们只需要把 wwwcomw.dll和 conf.inf放置到...
UPX使用教程
热门推荐
weixin_33913332的博客
08-11 1万+
UPX是一个通用可执行文件压缩器,由于其具有: 压缩率高:压缩效果优于zip/gzip; 解压速度快:在奔腾133上即可达到大约10MB/秒; 压缩的可执行文件没有额外的内存开销; 安全:可以列,检测和解压可执行文件,压缩和解压缩文件内部都维持有一个校验和; 广域:可以压缩多种可执行文件格式: dos/exe dos/sys dos/com djgpp2/coff w...
(三)利用导入、导出和重定位定位导入函数的地址
systomnet的专栏
05-25 1197
经过分析清单文件,我们知道
一个没加壳的VC版五笔练习
02-21
标题中的“一个没加壳的VC版五笔练习”指的是这是一个使用Microsoft Visual C++(简称VC)编译器开发的,未经过代码保护壳包装的五笔字型输入法练习程序。在软件开发中,"加壳"通常是指对可执行文件进行一层额外的...
第34章-手脱UPX,修复IAT1
08-03
在本章中,我们将深入探讨...通过熟练掌握这些技能,我们可以应对加壳程序带来的挑战,确保程序能够在 IAT 被破坏后仍然能够正确执行。这个过程不仅锻炼了我们的逆向工程能力,也加深了对 Windows 程序执行流程的理解。
IDA实例教程详解
05-24
- **输入修复**:对于被修改过输入程序,可以使用工具如ImportREC的IAT AutoSearch功能修复输入。修复后,IDA能够正确解析程序的外部依赖,使分析更为准确。 ##### 2. 交叉引用 - **交叉引用**:IDA提供的...
IDA实例教程
08-19
在处理加壳程序时,IDA的IAT(Import Address Table)修复功能可以帮助恢复程序导入函数,使得静态分析更加准确。此外,通过OD(OllyDbg)等调试器配合使用,可以进一步增强分析能力,比如在OD中找到OEP并设置断点...
手动添加导入修改EXE功能
天使也掉毛
10-30 6046
手动添加导入修改EXE功能
输入EXE怎么样调用DLL
小猪快跑
11-16 856
** 输入是PE文件结构中不可或缺的部分,输入也称之为“导入”。 首先还得先从DLL文件入手。日常生活中我们会看见一些大型软件有很多的DLL格式的文件,它们是“动态链接库文件”,这些文件中有很多的导入函数,这些函数不会直接被执行,当一个程序EXE)运行时,导入函数是被程序调用执行的,其执行的代码是不在主程序EXE)中的一小部分函数,其真正的代码却在DLL文件中。这时我们就
一个查看导入的工具
Dustfly的专栏
02-24 3523
推荐一个查看导入的工具 作者:Sunline              lisunlin0@yahoo.com.cn 日期:2008年02月源代码下载:http://download.csdn.net/user/lisunlin0关键字: PE导入, 完全重定位代码, 无导入程序,        Show Import Table, relocable code
关于导入
zzx的博客
12-14 972
写一篇关于导入的文章。 逆向脱壳,找到入口点之后,dump。一般都会遇到要修复导入的问题,因而了解导入就有必要。 首先说一下什么是导入,百度百科给出的解释是 Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用
软件加壳输入处理-解析
dasgk的专栏
09-03 1511
本篇博文说下PE文件中输入的格式和具体的使用,以及在软件加壳中的注意事项(本人菜鸟),高手飘过 IMAGE_IMPORT_DESCRIPTOR STRUC {      union        Characteristics DWORD       OriginalFirstThunk  DWORD      ends     TimeDateStamp DWORD
Winfrom 程序的一次失败的加壳经历
研究、探索、分享与成长
09-22 7828
也不知道从什么时候开始,C#编写的程序在部分杀毒软件下总是被视为病毒感染者、携带者。作为一个360的资深用户(第一次使用是07年),最开始用它还是在大学时期在电脑城装机的时候,用来清除Ghost系统捆绑的插件和内置启动项。
高级语言对应的汇编指令
LYSM
06-14 3887
已 c++ 为例 ???? ---------- ???? 定义变量 也就是说单纯的定义一个变量,不给它初始化,系统认为这个变量是没有意义的,就决定不会为它分配内存空间所以自然也不会有对应的汇编代码。或者可以理解为编译器暂时把你定义的变量记录下来但没有通知系统去做一些别的事情。 但是当定义一些被 c++ 封装后的结构类型时,就不一样了: 没错,string 也是! ???? 变量初始化 先来看 bool 类型的初始化: 将 false 对应的值存入变量 b 的地址中,没毛病 ????,如果把 fals
[逆向] x64dbg / od 设置消息断点
LYSM
02-22 3188
背景 很多时候在我们不知道目标程序调用了哪些 api 时,需要使用消息断点粗略的定位关键代码位置。比如在游戏里点击一次鼠标,可以根据这个消息向下跟踪点击完鼠标后游戏执行的逻辑。 方法 一个简单的消息循环是这样的 : while( GetMessage(&msg,NULL,0,0) ) { TranslateMessage(&msg); //将 WM_XXXKEYXXX 消息翻译为 WM_CHAR 消息 DispatchMessage(&
[游戏分析] 游戏逆向
LYSM
02-07 2865
射击类 FPS游戏:实现D3D劫持透视 (API Hook) FPS游戏:实现GDI方框透视 (三角函数)
idae无法定位程序输入
最新发布
06-04
IDA是一款反汇编工具,无法定位程序输入点可能是因为程序的入口点没有被正确地识别。在大多数情况下,程序的入口点是main函数,但有时候可能是其他函数或代码段。以下是一些可能导致无法定位程序输入点的原因: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值