IAT重定向

最新推荐文章于 2022-06-18 19:03:55 发布
最新推荐文章于 2022-06-18 19:03:55 发布
阅读量438 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V8cangshu/article/details/90338792
版权

IAT重定向

使用OD加载目标
在这里插入图片描述
直接通过ESP寻找目标入口点
在这里插入图片描述
设下访问断点,紧接着F9寻找入口点
在这里插入图片描述
忽略几处异常来到入口点
在这里插入图片描述
可以看到调用的第一个API函数是GetVersion,我们可以在一开始给GetVersion设置一个断点,运行起来,接着会断下来,看看返回地址是不是位于第一个区段,如果是就定位到返回地址处,上面就是OEP了。
在这里插入图片描述
460ADC是IAT中的一项,其中保存的是GetVersion的地址,我们在数据窗口中定位到IAT。
在这里插入图片描述
在这里插入图片描述
直接定位到IAT的尾部。

在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在区段列表窗口中来验证一下,最后发现。
OEP = 271B0(RVA)
IAT起始地址 = 60818(RVA)
IAT 大小 = 710
用OllyDump插件来dump。
之后用imrec处理

get imports。
在这里插入图片描述
填入三项数据接着fixx dump出来及完成。
在这里插入图片描述

緋紅の柚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在OD中手工修复IAT重定向
谢绝留言与私信
02-12 2829
前言壳代码,都会重定向IAT表项到壳里的地址. 如果找到真正的IAT表项的API地址列表, 自己手工填到ImpREC中挺繁琐的. 这时, 可以在已经停在OEP处的OD中, 先在ImpREC中填写正确OEP, 得到IAT表项. 当IAT表项在壳内时(无效项), 在OD中根据ImpREC提示的IAT表项地址, 手工找到真实的API地址, 将IAT手工填充(2进制拷贝,2进制粘贴), Dump出去壳
IAT重定向的修复
zzx的博客
01-04 1303
有时候,一些强壳,仅仅定位到了iat表的位置,并且知道了大小,在importrec中也还是无法修复的,我们知道正常的iat表其中存放着各个函数的地址,而经过重定向IAT表,其中并不是存放着地址,而是一个指针,这个指针,指向壳的某个内存空间中,然后在壳中代码片段将地址ret,这样的话,importrec就无法修复了,我们知道,正常的文件,他的iat表在未加载的时候是字符串名称,windows在加载
dump文件 修复iat_在OD中手工修复IAT重定向
weixin_28829173的博客
12-24 589
前言壳代码,都会重定向IAT表项到壳里的地址.如果找到真正的IAT表项的API地址列表, 自己手工填到ImpREC中挺繁琐的.这时, 可以在已经停在OEP处的OD中, 先在ImpREC中填写正确OEP, 得到IAT表项.当IAT表项在壳内时(无效项), 在OD中根据ImpREC提示的IAT表项地址, 手工找到真实的API地址, 将IAT手工填充(2进制拷贝,2进制粘贴), Dump出去壳PE. 在...
手工脱壳之 PESpin加密壳【SHE链硬件反调试】【IAT重定向】【混淆+花指令】
aihan8042的博客
03-24 386
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,IDA,Universal Import Fixer,OllySubScript 此篇是加密壳的第二篇,更详细的步骤和思考,请查看第一篇:手工脱壳之 未知加密壳 【IAT加密+混淆+花指令】 PESpin壳: 二、脱壳之寻找OEP 1、硬件断点失效 ...
重定位表,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2748
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位表重定位的是哪些信息,第二个,IAT修复跟重定位有什么关系。 通俗的说,重定位表里面记录的就是写死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位表进行重定位。 IAT修复和重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
Hook IAT hookdll资源表
11-21
- **重定位表法**:利用PE文件的重定位表,将API调用重定向到钩子函数。 - **Detour库**:Microsoft的Detour库提供了一种更高级的方法,允许动态创建钩子,无需修改目标进程的IAT。 5. **封装类**: 在给定的...
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
4. **hooked_pass.exe**:可能是经过IAT钩子处理后的可执行程序,它的某些API调用已经被重定向。 5. **org_pass.exe**:原始的未被钩子处理的程序,用于对比和测试。 6. **GetIAT_Address.txt**:可能包含获取目标...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
IAT Hook是一种代码注入技术,用于修改目标程序的IAT,将函数调用重定向到自定义的处理函数,而不是原始的函数实现。这通常用于调试、监控、安全检测或恶意软件行为。例如,一个常见的应用是防止病毒通过替换系统API...
第38章-手脱Yoda's Crypter v1.31
08-03
本章节将对Yoda's Crypter v1.31进行详细的分析,包括其加壳机制、IAT重定向、SEH链的使用和OEP的定位。 一、加壳机制 Yoda's Crypter v1.31使用了复杂的加壳机制来保护软件。其主要机制是使用SEH链来处理异常,并...
APIHOOKIAT
05-27
API Hook通过替换IAT中的API入口点,将调用重定向到我们自定义的函数,这个自定义函数通常被称为钩子函数。当原API被调用时,实际上会执行我们的钩子函数,然后由钩子函数决定是否继续执行原API或者执行其他操作。 ...
IAT脱壳修复工具(Scylla) V0.9.3 汉化版
05-23
IAT脱壳修复工具(Scylla) V0.9.3 汉化版
SRM加密狗复制工具,三维扫描仪软件复制程序破解
05-04
本人提供三维扫描仪正式版加密锁写锁程序,配合主锁可以完美生成加密锁,主锁价格是正版价格的1/5,有需要的朋友可以联系购买。 三维扫描仪可以自己 DIY了,不再需要很高的成本! 可批量写锁,价格更优惠! 天远三维扫描系统2012 复制锁 天远三维扫描系统 V6 复制狗 先临三维测量软件2.0 写锁工具 先临三维测量软件2.2 正式版写狗 天远摄影测量系统 复制锁 精迪三维扫描软件10.0 复制锁 3DSS数造三维扫描软件 12 复制狗 迪尔三维测量软件 V8 2012 破解加密狗 世纪动力三维测量软件 破解加密锁
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
HASP SRM跳IAT加密
06-08
HASP SRM跳IAT加密 HaspSRM狗壳及iat修复 HaspSRM狗壳及iat修复
Aladdin HASP加密狗破解脱壳笔记
COPYONE工作室
06-18 7979
Aladdin HASP加密狗破解脱壳笔记。本次也不算是一个教程吧,最近在工作上遇到了一家供应商提供的非常不错的软件,这个软件给到我们这里的时候是附带了HASP 一个月的授权的软件狗,授权到期之后,也打算好好弄一弄这个大名鼎鼎的HASP加密狗。...
二、C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
Koma的主页
03-04 1355
这一章节将详细的讲述《如何从一个DLL的资源中使用内存的方式加载另一个DLL》
【转】IAT 解析
本博客所有内容都是转的前辈们的
04-13 1605
关键:   typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk;// 指向一个 IMAGE_THUNK_DATA 结构数组的RVA } DWORD TimeDateStamp;// 文件生成的时间 DWORD Forward
脱壳后的IAT修复
谢绝留言与私信
02-01 4665
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
pandas iloc iat
最新发布
08-18
pandas中的`iloc`和`iat`是用于访问DataFrame中特定位置的快速访问方法。 `iloc`是基于整数位置的索引,用于通过整数位置选取DataFrame中的行和列。它接受两个整数或整数切片作为参数,第一个参数表示行的位置,第...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值