脱壳后的IAT修复

最新推荐文章于 2024-05-27 13:58:01 发布
最新推荐文章于 2024-05-27 13:58:01 发布
阅读量4.7k 收藏 6
点赞数

前言

压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错.
今天练习了脱壳后的IAT修复, 将流程点记录一下.

记录

OEP处dump的工具

OllyDump(修复导入表dump和不修复导入表dump)
LordPE(有些壳dump不出来)
PeTools
OD在OEP处, 用这几种工具, 将PE映像Dump出来.
用这几种工具都Dump一下, 如果Dump出来的这几种PE映像都不能正常运行, 再进行IAT修复.

脱壳工具

ImportREC, 看雪大礼包里的有1.6和1.7C版, 我用的1.7C.

脱壳操作

ImpREC的选项可能要设置一下”Create New fresh IAT”.
这里写图片描述

打开ImpREC, 在进程列表中选择OD中停在OEP处的待脱壳进程.
根据OD停住的OEP, 填入ImpREC中的OEP输入框中, OEP值不带段值(e.g. OEP = 004271B0, 要填的OEP值为000271B0).
点击自动搜索, ImpREC会搜到一些IAT地址范围.
随便在OEP附近找一个API地址, 去看看IAT项在哪, 是否在ImpREC找到的范围内, 是否有遗漏.
ImpREC不会找错IAT范围, 只会有遗漏.
如果ImpREC找的IAT范围有遗漏, 自己将IAT范围改大(开始地址往低地址改, RVA的值填第一个IAT项前面的地址, size往大改), 套住整个的IAT项范围.
IAT项开始地址在OD的Memory区按照long型地址显示, 能看到地址中内容是API地址.
这里写图片描述
如果套的太大了, ImpREC取IAT时, 会有很多无效项, 需要自己cut掉.
有时, 由于壳自己填的错数据(程序并不用), 也会出现无效项.
这里写图片描述
点击按钮”Show Invalid”, 会显示出所有的无效导入函数项. 在无效项上右击,选择cut删掉无效项.
这里写图片描述

点击ImpREC的按钮GetImports, 去取IAT中的API导入地址.
这里写图片描述
如果得到的导入函数项都有效(或者将无效项cut掉), 就可以点击按钮”fix Dump”, 弹框后, 选择已经dump出来的PE映像.

然后试试IAT修复后的PE是否能正常运行, 用不同PE工具, dump出来一共有4个待修复PE镜像, 总有几个能用的, 如果都不能用, 那就是IAT修复参数填错了. 如果OEP或IAT的RVA和SIZE填错了, 在”GetImports”时, 得到的IAT项列表应该有很多无效项, 或IAT代表的DLL比实际的DLL数量少, 那时就应该发现不对头了.

LostSpeed
关注
脱壳修复脱壳修复IAT
这个人很懒什么都没有留下
10-22 95
如果脱壳后没有秀发IAT那也只能在你的电脑上运行,无法在别人电脑上运行,因为IAT是为了提升软件的兼容性,软件启动后每次运行都会获取当前电脑的API函数地址,脱壳后就会损坏IAT也就无法获取机器的API函数地址。可以通过od 右键 查看所有模块调用 来查询目前程序所调用的API函数地址。
脱壳进阶篇——IAT修复与解密
摔不死的笨鸟的博客
12-09 2907
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT中的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
PE脱壳软件修复LordPE_fix.EXE
01-24
程序名称:LordPE Deluxe 增强版 版 本:1.4 汉 化 人:cao_cong 联系方式:cao_cong_hx@yahoo.com.cn 使用说明: 这个工具大家应该也比较熟悉吧?这是另一款PE编辑工具,号称是“最好的PE文件修改工具”。这个增强版本是我在看雪学院上看到的,原来是看雪兄的大作。正好我以前汉化过这个软件(自己用的,没发布过),顺便套用一下以前的资源,把它给汉化了(里面所附带的工具基本上都汉化了)。可能有许多兄弟都比较喜欢用这个软件,这次发出来希望能给大家带来一点方便。这个增强版的主要更新(根据看雪兄的readme文件): (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 不过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题? 其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中,大家可以进行比较。 声明: 1、此汉化软件是免费软件,请在转载时保留其内容的完整性! 2、此软件仅用于个人学习使用,禁止用于商业用途,否则后果自负! (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 文件列表: LordPE.EXE .............原版 LordPE_fix.EXE .............增强版 LordPlug.dll .............功能插件 LordPlug.dll_src .............功能插件源码
手动修复IAT
weixin_30402085的博客
06-17 782
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使...
一个给新手进阶的IAT加密壳
最新发布
2401_84466227的博客
05-27 760
这篇文章中介绍了IAT加壳与解壳的全过程,并用Ollydbg进行逆向分析,说明这个壳的鸡肋的之处,最后给出了核心源代码。
修复IAT
qq_41071646的博客
09-14 1922
链接:百度云盘 密码:yvt2 其实这个操作 我感觉是有、操作的 修复iat 需要的 有oep  有 IAT表的地址 (大小其实最好也算出来) 然后这篇就是手动查找IAT 然后这个先找到oep 然后直接修复镜像   右键 修复镜像 保存 然后查找 IAT 其实这个也很简单  在上面的脱壳   有 call  dword ptr ds[425210] 然后 很明显是一个调用的 api ...
手工实现各种脱壳后的修复
CSDN
09-25 8178
PE(Portable Executable)导入表是Windows操作系统中可执行文件(如DLL和EXE)的一部分,用于记录该文件所依赖的外部模块和函数。导入表是PE文件结构中的一部分,负责描述程序在运行时需要引用的外部符号,以便操作系统在加载程序时能够解析这些符号并正确地链接到相应的函数或模块。
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
SE2.40 IAT修复v2.0,此脚本可修复散列IAT
03-16
标题"SE2.40 IAT修复v2.0"表明这是一个专门针对SE2.40版本的IAT修复工具,可能用于处理由于某种原因导致的IAT损坏问题。这里的"SE"可能指的是某个软件或系统环境的特定版本,但没有更具体的信息,我们只能推测。 ...
软件的脱壳 IAT修复 TLS修复.zip
07-03
软件的脱壳 IAT修复 TLS修复.zip
第34章-手脱UPX,修复IAT1
08-03
提示无效的 win32 程序,我们需要修复 IAT,我们需要用到一个工具,名字叫做 Import REConstructor,不要关闭 OD,将让其断在 OEP
软件的脱壳 iat修复 tls修复.zip 共1个文件 rar:1个
01-21
因此,需要使用解压缩工具打开这个rar文件,从中找到软件的脱壳iat修复和tls修复相关的文件进行操作。解压后应该可以找到相关的文件进行修复与修改。 软件的脱壳是为了方便进行逆向分析和修改,而iat修复和tls...
Re-脱壳技术 脱壳实战(3): 脱壳修复IAT
逆向随笔
12-27 1809
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
【逆向】脱壳修复IAT并关闭ASLR
Tigger.run 独立开发者 热爱逆向工程
04-12 1058
0x1 寻找OEP OEP八大法…这里不具体展开… 0x2 修复IAT 脱壳后如遇到程序无法正常运行(XP环境),可能是因为导入表破坏,需要手动修复。 将暂停在OEP的进程加载到ImportREC中,通过OD查看IAT(导入表)地址与大小。 通过PC文件格式的学习,可以知道导入表的RVA在可选头的DataDirectory数组中存放,但由于程序加壳, 图为加壳程序IAT的偏移 18008,大小6...
逆向脱壳——脱壳后的修复
weixin_30762087的博客
06-21 1378
脱壳后的修复 IAT修复 IAT 导入地址表(IAT):Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成. 为什么要手动修复IAT? 我们已经掌握了如...
IAT重定向的修复
zzx的博客
01-04 1336
有时候,一些强壳,仅仅定位到了iat表的位置,并且知道了大小,在importrec中也还是无法修复的,我们知道正常的iat表其中存放着各个函数的地址,而经过重定向的IAT表,其中并不是存放着地址,而是一个指针,这个指针,指向壳的某个内存空间中,然后在壳中代码片段将地址ret,这样的话,importrec就无法修复了,我们知道,正常的文件,他的iat表在未加载的时候是字符串名称,windows在加载
手工脱壳之FSG压缩壳-IAT修复
baochi8399的博客
07-19 339
目录 一、工具及壳介绍 二、脱壳 2.1、单步跟踪脱壳 2.2、IAT修复 三、程序脱壳后运行截图 四、个人总结 五、附件 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportR...
脱壳操作
吖吖狼 的专栏
03-26 2450
常规操作: 1、寻找OEP:OD载入,找到OEP,停在OEP处(一般在push ebp代码处)。 2、生成转存文件:打开LordPE,选中程序的进程,右键“修正镜像大小”,然后右键“完整转存”,输入文件名,保存。此步也可用OD自带的插件进行,在代码区右键“用OllyDump脱壳调试进程”,此外如果勾选了“重建输入表”,后面就不需要再用ImportREC修正输入表了,如果不勾选,则需要进入第3步
手工修复PE文件的IAT
xujunjie的专栏
11-04 2947
在做PE文件二次开发时常常需要手工添加导入函数,例如程序导入了7个dll文件(如下图),每个导入的dll有一个对应的IID: 其中前三个dll是程序隐式调用的,编译时会自动添加IID数组中,PE头中的数据目录项有一个AddressOfImport字段指向该数组的首地址,数组以一个全零的IID结束; 后面五个dll是手工添加进去的(可以借助LordPE工具添加),通过FirstTrunk可以看到
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值