(5) 定位IAT

最新推荐文章于 2023-05-25 23:33:43 发布
最新推荐文章于 2023-05-25 23:33:43 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eldn__/article/details/8038097
版权

一:半手动定位RVA

1OD载入程序并走到OEP

2,用OD脱壳(method 1)或用LordPe脱壳。

3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA

4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话看其他的地址就知道了,一般就是100000)跟随。

5,上下查看有函数的起始和终止地址,记录下起始地址,和大小(终止地址-起始地址)。

6,回到Import reconstructor 输入OEPRVA,大小-->获取输入表--显示无效函数-->追踪级别1fsg2.0不用追踪)-->显示无效函数-->剪切指针。

7,抓取转存文件。

二:手动定位RVA

1OD载入程序并走到OEP

2,在入口附近找到调用函数(如:fsg2.0的第一个调用函数是:GetModuleHandleA),在函数所在行-->右键-->数据窗口中跟随-->内存地址。

3,来到数据窗口,上下查看有函数的起始和终止地址,记录下起始地址,和大小(终止地址-起始地址)。

4,用OD脱壳(method 1)或用LordPe脱壳。

5,用Import reconstructor 找到进程, 输入OEPRVA,大小-->获取输入表--显示无效函数-->追踪级别1-->显示无效函数-->剪切指针。

6,抓取转存文件。

BtwIAT大小一般情况下可以填写1000,不影响修复,但会有需要垃圾指针出现.

 方法二比较好。当Import reconstructor ;连一个函数都找不到就只有用方法二了。



eldn__
关注
SE2.40 IAT修复v2.0,此脚本可修复散列IAT
03-16
总的来说,SE2.40 IAT修复v2.0是一个针对特定版本(SE2.40)的IAT修复工具,利用散列技术来定位和修复受损的导入地址表,以保证软件的正常运行。这个工具是开源的,意味着开发人员和高级用户可以深入研究其工作原理...
修复重定位,lz4库压缩区段,反调试,IAT加密,加密代码段,TLS简单处理
最新发布
06-06
"修复重定位,lz4库压缩区段,反调试,IAT加密,加密代码段,TLS简单处理"这一标题揭示了多种用于增强软件安全性的技术。让我们一一探讨这些概念。 首先,修复重定位是指在程序加载到内存时,由于地址空间布局随机...
定位IAT
06-17 1095
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。    1.简单方法:    直接通过以运行的exe文件来定位IAT      #include     #include void main()    {    HMODULE hMod = ::GetModuleHandle(NULL); //已运行的
定位IAT
jyw1111的专栏
09-21 794
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。     1.简单方法:     直接通过以运行的exe文件来定位IAT       #include     #include void main()    {     HMODULE hMod = ::GetModuleHandle(NULL); //已运行的exe文件在内存中的
第八课 定位IAT
weixin_30662011的博客
08-28 154
定位IAT 一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话...
FSG2.0(2)------手动查找IAT
confusion
01-06 869
上回找到了OEP,接着就进行脱壳。 用OllyDump,不选择重建输入表,点击脱壳。 用Import REConstructor修复IAT,修改OEP,自动搜索,获取输入表(ps:此时od未关,停在OEP处) DIT查询得知此程序是vc编译,而一个简单的vc编译程序是这样: 所以需要手动查找IAT。 在402190上面找到最开始的地方(前面全是0的位置)402000就是IAT的位
手动查找 IAT 的方法!!!
xum2008的专栏
11-12 3020
 一个这样的壳: MoleBox 2.x.x -> Mole Studio 是用 汇编写的;  ***************************** 运用 ESP 定律 达到程序的 OEP (如果在这个过程中,程序出现异常,就将它们添加进异常,继续运行程序,到达OPE,当看到 -jmp后,F7 进入就到了),正常脱壳后,发现程序无法运行。。修复时,有两个无效的指针。用
IAT.rar_IAT_iat 注入
09-21
2. **找到IAT**:在PE文件的内存映像中定位IAT,找到待注入函数的入口点。 3. **备份原始IAT**:为了安全和可恢复性,通常需要备份原始的IAT,以防注入失败或需要恢复原状。 4. **注入代码**:创建或获取自定义...
iat_hook.zip_IAT_hook iat_iat hook_iat_sample_vb中 iat的例子
09-14
标题 "iat_hook.zip" 涉及的是IAT(Import Address ...`GetIAT_Address.txt`和`import_address.txt`提供了关于IAT定位和分析的信息。学习这个例子,开发者可以深入理解IAT钩子的工作原理,并学会如何在实际项目中应用。
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
为了深入理解这个主题,你可以查看这些文件,了解实际操作过程,包括如何定位IAT、修改IAT条目以及如何安全地恢复原始入口点,以避免破坏目标程序。 总的来说,"HOOK-IAT.rar"可能是一个关于PE文件分析和IAT Hook...
OD使用之查找 API的方法
nethm的专栏
09-26 9476
一    反汇编窗口,右键--查找--当前模块中的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
(3)手动查找IAT
~
05-25 147
找到入口段点的第二行,数据窗口跟随这时的ESP并下硬件访问断点,F9进入断点(OEP已在附近),找到0040开头的第一行OEP,向下找一个系统函数并follow(enter),向上找到第一行的ds即为IAT起始位置,如:下图起始位置为4E010C。提前用LordPE直接脱壳,或找到OEP后使用olldump脱壳为unpack.exe。打开重建工具修改RVA及大小(大小一般写1000即可),Fix dump。
PE格式第四讲,数据目录表之导入表,以及IAT
weixin_30682127的博客
10-13 218
           PE格式第四讲,数据目录表之导入表,以及IAT表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶IAT(地址表) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 他会Call 下边的Jmp位置 而Jmp位置...
Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
逆向随笔
12-27 1837
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
手工修复PE文件的IAT
xujunjie的专栏
11-04 2965
在做PE文件二次开发时常常需要手工添加导入函数,例如程序导入了7个dll文件(如下图),每个导入的dll有一个对应的IID: 其中前三个dll是程序隐式调用的,编译时会自动添加IID数组中,PE头中的数据目录项有一个AddressOfImport字段指向该数组的首地址,数组以一个全零的IID结束; 后面五个dll是手工添加进去的(可以借助LordPE工具添加),通过FirstTrunk可以看到
IAT表、导入表(滴水)
若面朝大海边竹妮春暖花开的博客
05-14 424
IAT表 我们用OD查看程序中调用API时是4070BC中存储的值 4070BC中存储的是一个函数地址,这个地址是一个dll提供的空间 文件对齐和内存对齐相同 我们在文件中查看70bc调用的地址是7604 7604中存储的是MessageBox,是函数名称 可以看出程序运行前和运行后不同 是使用了动态链接库,动态链接库只有在程序运行时才会加载到程序中 如果调用是我们自己写的程序,地址都是写死的 为了防止dll文件重定位,所以调用dll中函数时不能将地址直接确定 所有dll加载完后,在确定地址 导入表
逆向脱壳实训 #2 手脱FSG及寻找IAT
weixin_48066554的博客
01-01 613
逆向脱壳实训 #2 手脱FSG及寻找IAT 文章目录逆向脱壳实训 #2 手脱FSG及寻找IAT环境 & 工具脱壳单步跟踪查壳OEP寻找IAT校准 之前的ASPACK和NSPACK跟UPX脱起来差不多,就没有再写文章记录 但FSG相对前三者无论是在脱壳上还是在修复上都有了不小的差别,所以记录下手脱的经验 环境 & 工具 win xp系统(尝试使用win10系统复现失败,浪费在调试环境上的时间比实际学习的时间还长,只能说不愧是windows) 吾爱破解版ollydbg exeinfope(可使
在OllyDbg中如何找出B模块中所有调用了A模块的C方法的地方
JUST DO IT.
04-18 2462
首先我们要知道如果是调用本模块方法,知道该方法在本模块的输出地址后,按下ctrl+s,输入call 函数地址,即可找到。但如果是调用其他模块方法的话必须多做一些事情。 下面以寻找xx模块所有调用了bdertl60模块的FlushBuffers方法地方为例。 首先找到FlushBuffers方法在xx模块中的地址:0133A49C xx  .idata     输入       
定位表,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2831
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位表重定位的是哪些信息,第二个,IAT修复跟重定位有什么关系。 通俗的说,重定位表里面记录的就是写死了的数据,比如call 一个地址(一串数字),在基址加载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位表进行重定位IAT修复和重定位有啥关系呢,答案是,没有关系,在加载进内存前,FirstThunk和
C++实现IATHOOK类封装及静态成员应用
在遍历过程中,对于每个模块,找到其IAT表,定位到目标API函数的入口点,然后将入口点替换为自定义的函数指针。 3. **替换IAT条目的实现**: 替换IAT条目通常涉及读取和修改PE文件结构。这包括定位到模块的导出表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值