脱壳系列(三) - 输入表

最新推荐文章于 2019-04-26 12:30:38 发布
最新推荐文章于 2019-04-26 12:30:38 发布
阅读量209 收藏
点赞数
原文链接:http://www.cnblogs.com/sch01ar/p/9898851.html
版权

前言:

输入表又称导入地址表(Import Address Table),简称 IAT

API 函数被程序调用但执行代码又不在程序中,而是位于一个或者多个 DLL 中

当 PE 文件被装入内存的时候,Windows 装载器才将 DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成,其中导入地址表就指示函数实际地址

程序:

运行

点击“确定”

点击“关闭”

点击“确定”,关闭程序

逆向:

用 OD 载入程序

载入后按 Alt+M,显示内存窗口

双击“PE 文件头”这行

往下拉

基址为 400000,基址是可以被人为修改的

这个是输入表的地址,相对于基址的,即为 402050

按 Alt+C 回到 CPU 窗口

按 Ctrl+G 跟随表达式

输入 402050,点击“OK”

这里不能直接进行分析的,需要用到插件 Analyze This

选择

第三个 IMAGE_IMPORT_DESCRIPTOR 中全是 0,是结束的标准

这两个 IMAGE_IMPORT_DESCRIPTOR 分别与 KERNEL32.dll、USER32.dll 相关联

跟随第一个 IMAGE_IMPORT_DESCRIPTOR 的第一行 2098

来到 USER32.dll 处

继续往下跟随

跟随 402122

这里都是 API 函数名

IMAGE_IMPORT_DESCRIPTOR 的第五行为指向输入表(IAT)的偏移地址

跟随 200C

这里的第二列是函数的地址

例如:77D507EA 是 MessageBoxA 函数所在的地址

验证一下

程序刚开始运行的时候调用了 MessageBoxA 函数,这里的 4011EA 就是 MessageBoxA 函数

按回车

这里将 jmp 到 77D507EA 执行 MessageBoxA 函数,这个地址是属于动态链接库的

从而验证了 77D507EA 是 MessageBoxA 函数所在的地址

转载于:https://www.cnblogs.com/sch01ar/p/9898851.html

andiao1218
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用OD脱壳的基本方法
02-10
壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入等等进行加密保护。当然加密壳的保护能力要强得多!
脱壳工具 NET-脱壳去混淆-de4dot-Reactor5.0 By ddk313
03-18
5. 使用de4dot-x64.exe 脱壳C# dll exe 文件: de4dot "d:\xx.exe" -p xc -p xc 指定壳类型 , 这里是xc,示Xenocode壳. 这样会在exe的相同目录生成一个 xx_cleaned.exe 的文件 要指定输出路径请使用 -o "d:\...
手动脱壳—dump与重建输入
ccnyou的专栏
08-31 6579
很久没玩逆向了,今天权当复习,顺便做个笔记 文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg LordPE ImportREC 这些工具请自行下载准备 Dump原理这里也不多做描述,想要了解google it!常见的dum
脱壳实践之手动构造输入
weixin_30535913的博客
10-29 132
0x00 前言 对于脱壳后的程序往往不能直接运行,这是因为它们很多都没有重建输入。当然用的od脱壳可能可以。重建输入一般都是用专业软件比如ImportREC。但是对于逆向研究者来说会自己重讲输入是必须的技能。这就需要读者对前面几篇所讲的PE文件格式非常熟悉。 0x01 寻找OEP脱壳脱壳 前面已经提到对于区段信息全都已经改的面目全非的加壳程序,用两次内存断点法是无法找到OEP地...
33. 脱壳篇-重建输入
墨痕诉清风的博客
03-08 989
OD自动分析MessageBox,call 004011EA,他是怎么分析知道函数MessageBox 打开PE头文件,INT 我们要重点关注的字段一个是ImageBase基址,一个是Import Table address导入地址,这里导入的地址是基地址+偏移地址 在代码区搜索导入地址 分析完如下图 查找这两个偏移地址就可以看到dll和函数的地址...
手动脱壳—dump与重建输入(转)
banhanjun1518的博客
07-05 252
文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg LordPE ImportREC 这些工具请自行下载准备 Dump原理这里也不多做描述,想要了解google it!常见的dump软件有LordPE,ProcDump,PET...
手动脱壳—dump与重建输入 相关例子附件
08-31
博客文章《手动脱壳—dump与重建输入》,文章地址:http://blog.csdn.net/ccnyou/article/details/7930817
.net脱壳神器---de4dot
09-25
de4dot去混淆软件最新编译版本 !
upx脱壳机--用于upx类脱壳
02-05
用于脱upx类壳,简单的脱壳工具,在Windows环境下可以使用
他乡脱壳系列教程之VMProtect
12-29
他乡脱壳系列教程,详细讲解了VMProtect壳的相关知识
新手的OD系列教程
07-23
教程名称:新手的OD系列教程 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
输入地址(IAT)
weixin_33831673的博客
10-02 101
输入地址(IAT) 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3846789.html
OD脱壳的基本方法
weixin_30677073的博客
11-19 461
一、概论 壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入等等进行加密保护。当然加密壳的保护能力要强得多! 二、常见脱壳方法预备知识 1...
Od跟进之脱壳(待完善)
qq_41694201的博客
10-20 823
这里是od脱壳的小学习,首先需要用到PEID查壳工具来查看软件中是存在怎样的壳,windows下大概有种壳:压缩壳,加密壳和vmp壳(虚拟机壳) 然后用od打开软件进行查找软件的入口 pushad:把所有的计算器压栈 C语言经典入口: push ebp nov edp,esp add esp,-0x10  loadpe或者其他脱壳工具 进行脱壳,但是软件有可能会在脱壳后导致导入的...
输入详解
For Geek
04-26 1198
输入结构如下: 在数据成员目录的第二项可以找到输入的offset 输入其实是一个IMAGE_IMPORT_DESCRIPTOR结构数组,看下Winnt.h中的详细定义 typedef struct _IMAGE_IMPORT_DESCRIPTOR { // 0 for terminating null import descriptor union { DWORD...
PE文件解析-输入、输出与重定位
zhyulo的博客
01-03 3174
一、 输入 1、输入地址定位    PE文件头可选映像头中数据目录的第二成员指向输入输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个单元是NULL。     数据目录的第二成员 IMAGE_DATA_DIRECTORY DataDirectory[IM...
22. PE结构-PE详解之输入(导入)、屠龙刀W32Dasm(静态)、LordPE(动态)工具入门(查找dll、调用函数)
墨痕诉清风的博客
03-05 2390
我们知道PE 文件中的数据被载入内存后根据不同页面属性被划分成很多区块(节),并有区块(节)的数据来描述这些区块。这里我们需要注意的问题是:一个区块中的数据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。例如接着要讲的输入、输出等就有可能和只读常量一起被放在同一个区块中,因为他们的属性都是可读不可写的。 其次,由于不同用途的数据有可能被放入同一个区块中,因此仅仅依靠区块是无...
导入:import xxx 和 from xx import xxx 的区别
远航
11-16 4293
import xxx 和 from xx import xxx 的区别 先看一个小案例 总结 import * :可以理解为地址复制,就是引用 from xxx import *:可以理解为内容复制,就是深拷贝 多个模块要共享一个数据的时候必须使用 import xxx 这个方式 ...
IMPORT ADDRESS TABLE ENTRY
dadalan的专栏
08-26 1084
首先,说下FLAT内存模式,DOS时代,由于早起的硬件设计问题,为了充分利用CPU的寻址能力 产生了分段内存管理,用两个16位的寄存器来指示20位的内存地址, 在CPU进入32位后,32位地址线所能寻址的地址空间为2^32,即4GB 并且32位CPU提供了保护模式工作方式,在保护模式下,段寄存器中存放的是选择子 内存在程序员看来,就是一段平坦的(。。描述的不好,忍下) 队列中存放指令,这个说的是指
frida-dexdump 脱壳工具
最新发布
06-28
Frida-dexdump是一款用于Android应用程序脱壳的工具。它基于Frida框架,可以在运行时动态地注入代码,从而实现对应用程序的监控和修改。通过使用Frida-dexdump,用户可以获取应用程序的dex文件,进而进行反编译和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值