OD学习记录19.05.08

最新推荐文章于 2023-08-04 16:32:00 发布
最新推荐文章于 2023-08-04 16:32:00 发布
阅读量372 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V8cangshu/article/details/89954324
版权
本文详细介绍了如何使用OllyDbg(OD)定位并修复CRACKME UPX程序的IAT(导入地址表)。通过ESP定律找到OEP,设置硬件断点,然后使用Import REConstructor工具来定位和修复IAT,确保程序运行正常。
摘要由CSDN通过智能技术生成

修复IAT

首先第一步定位OEP,用OD加载CRACKME.UPX。
在这里插入图片描述
使用ESP定律来定位OEP,现在我们停在了入口点处,单击F7键执行PUSHAD。
在这里插入图片描述
在ESP寄存器值上面单击鼠标右键选择-数据窗口中跟随。
就可以在数据窗口中定位到刚刚PUSHAD指令保存到堆栈中的寄存器环境了,选中前4个字节,通过单击鼠标右键选择Breakpoint-Hardware,on access-Dword给这4个字节设置硬件访问断点。
在这里插入图片描述
运行起来,马上就断在了JMP OEP指令处。

直接按F7键单步到OEP处。
在这里插入图片描述
处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。使用工具PE TOOLS来进行dump。因为没有修复IAT是不能够运行的。需要修复IAT,用到一个工具,名字叫做Import REConstructor,不要关闭OD,将让其断在OEP处,I

最低0.47元/天 解锁文章
緋紅の柚
关注
OD帮助文档,学习破解逆向必备知识。
01-08
OD帮助文档,学习破解逆向必备知识。OD帮助文档,学习破解逆向必备知识。
OD学习
weixin_34037977的博客
07-05 1498
db地址//以字节方式显示指定内存的数据 转载于:https://www.cnblogs.com/rogee/archive/2010/10/03/1841652.html
OD入门学习(调试篇)
热门推荐
u012640985的专栏
05-04 1万+
一、OD快捷键 二、关于jicunqi
OD学习记录19.04.20
V8cangshu的博客
04-20 340
绕过daxxor对OD的检测 起手时一般直接使用OD运行程序,观察是否有壳或者反调试检测。按下图情况运行后一直提示不能调试的错误弹窗,所以是存在对程序本身有检测是否是在OD中运行,关闭后OD直接结束程序进程。所以我们需要想办法绕过程序本身对OD的检测。 以上是使用OD运行daxxor的结果 查找当前模块中的名称,可以看到有很多API函数,但都不是用于检测进程名的,可能这些重要的API函数被隐藏起...
OD基础入门
做一个快乐学习者
03-15 1251
O 标志(溢出标志) A 标志(辅助进位标志) P 标志(奇偶标志)该二进制数中的的 1 的总个数为偶数时,P 标志被设置 Z 标志(零标志)当运算产生的结果为 0 时被设置为1 S 标志(符号标志)运算结果为负时设置为 1 C 标志(进位标志) 超过最大数值时设置 ...
slurm-19.05.2.tar.bz2
12-13
Slurm19.05版本 高性能集群调度使用,或者可以到官网进行下载也是可以的,非常不错的!!!!Slurm19.05版本 高性能集群调度使用,或者可以到官网进行下载也是可以的,非常不错的!!!!
慧荣SM3281芯片(黑片)U盘量产工具V19.05.08.21.rar
09-05
软件介绍:  使用慧荣SM3281主控的U盘,有些使用的是黑片,这种U盘使用正片量产工具是无法量产的,碰到此类问题可以试试这个黑片量产工具,其特点是支持闪存为黑片或者闪存不太好的U盘。 U盘出现问题时,只要...
AlcorDSMP_19.05.10.00.zip
10-10
安国主控U盘的闪存测试工具又更新了,版本到了AlcorDSMP 19.05.10.00,主要更新了: 1. 增加支持Toshiba 8T24(SanDisk 8T24已支持); 2. 增加支持Intel B27A(Micro B27A已支持); 3. 提高8T23/L06B DieSort与MP...
hrsm3281hpup_v19.05.08.21.zip
01-17
慧荣SM3281主控的U盘如果使用正片量产工具无法成功的话,建议使用本黑片的量产工具,它支持闪存为黑片或者闪存不太好的U盘来使用,我们可以使用本工具来完成U盘的修复,特别是U盘无法使用的情况,使用黑片的工具虽然...
OD入门基础教程{学破解的人都需要的。}
09-22
OD入门基础教程{学破解的人都需要的。}
od基础找call课程讲解练习
01-15
od视频讲解 通过实例学习od 学习call 找call 和call的使用
OD中手工修复IAT重定向
谢绝(无视)留言与私信
02-12 2886
前言壳代码,都会重定向IAT表项到壳里的地址. 如果找到真正的IAT表项的API地址列表, 自己手工填到ImpREC中挺繁琐的. 这时, 可以在已经停在OEP处的OD中, 先在ImpREC中填写正确OEP, 得到IAT表项. 当IAT表项在壳内时(无效项), 在OD中根据ImpREC提示的IAT表项地址, 手工找到真实的API地址, 将IAT手工填充(2进制拷贝,2进制粘贴), Dump出去壳
OllyDbg使用学习 笔记
Fly Follow the Heart
12-31 4802
1. 运行命令:         F7 -- 单步执行,遇到Call跟进         F8 -- 单步执行,遇到Call跳过,不进入         F9 -- 运行起来,相当于Visual Studio的F5         Ctrl+F9 -- 运行到本函数结束(Ret指令后)         Alt+F9 -- 跳出系统调用,回到应用程序中         
软件逆向工程脱壳分析
09-06
独立开发软件保护系统,深度了解脱壳的本质,提高软件逆向水平 中级班的课程大致分为前期PE文件格式的解析,中期保护壳的编写,后期实现脱壳,变异原理以及虚拟机保护原理 编写保护壳详细详解各种加密思路,防破解思路,以及反调试,PE格式等相关知识等,让自己对PE文件格式完美上升一个档次,文件格式又分为基础与应用,基础是次要,应用是主要,老师会深入浅出的带领同学们对PE文件格式进行各种应用,比如实现修复重定位完成DLL加壳,提取原入口点并且对这个入口点进行加密保护,以及对区段的各种加密手法与技巧,如何实现IAT保护.识别代码块保护学习这一门课程具有极强的功效!为自己后面脱壳打下坚实的基础
修复IAT
qq_41071646的博客
09-14 1941
链接:百度云盘 密码:yvt2 其实这个操作 我感觉是有、操作的 修复iat 需要的 有oep  有 IAT表的地址 (大小其实最好也算出来) 然后这篇就是手动查找IAT 然后这个先找到oep 然后直接修复镜像   右键 修复镜像 保存 然后查找 IAT 其实这个也很简单  在上面的脱壳   有 call  dword ptr ds[425210] 然后 很明显是一个调用的 api ...
手动修复IAT
weixin_30402085的博客
06-17 795
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使...
脱壳后的IAT修复
谢绝(无视)留言与私信
02-01 4798
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
banhanjun1518的博客
07-05 734
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
NsPack3.x脱壳手记
最新发布
輚至消亡
08-04 457
完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复。将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响。接着把无效的部分删除。
2019-09-17_19.05.53_mipi_csi-2_specification_v3-0.pdf
06-06
2019-09-17_19.05.53_mipi_csi-2_specification_v3-0.pdf是一份MIPI CSI-2规范的文档,其版本号为v3-0。该规范主要定义了移动设备中用于高速串行图像传输的接口标准,包括信号、协议、数据格式等方面的内容。 在该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值