dump文件导入表修复工具——Imports Fixer

已于 2022-03-25 22:06:12 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: 软件逆向 文章标签: 脱壳 逆向 导入表修复 dump
于 2022-03-21 13:57:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/123630379
版权

最近在学习VMP脱壳,用到了该工具,记录分享一下。

功能:

根据进程的导入表,在该进程的dump文件中分配一块空间,在文件中创建导入表。

下载:

非开源

很多地方可以下载到,这里分享一个csdn下载地址:

https://download.csdn.net/download/shadow20080578/85012603

使用前提:

1、导入表被修复好的进程

2、导入表没有被修复好的dump文件

使用方法:

打开主界面

1、在主界面上面选中导入表被修复好的进程

2、主界面下面选中要修复的模块

3、然后点击IT & IAT:

进入到IT&IAT标签页

4、在右边上部选中代码段所在的节。

5、下面设置OEP相对文件加载基址的偏移。

6、点击“Get Imports [auto scan]”。点击后,左侧会显示从进程中获取导入表的情况,如果有无效的,可以选择删除。同时“Fix dump”按钮变成可点击状态。

7、勾选最下面的“Add new section”

8、点击“Fix dump”,选择dump文件进行修复。

 完成。

大雄_RE
关注
专栏目录
【C++软件调试技术】dump文件类型与dump文件生成方法详解
dvlinker的技术专栏
11-22 2万+
dump文件类型与dump文件生成方法详解。
dump文件生成工具DumpTool
01-26
DumpTool主要用来在用户机器上对目标进程生成dump文件,定位“卡死”、Crash等问题。 (1)MiniDump示生成一个包含必要信息的dump文件文件大小约200-500k,具体Flag =MiniDumpNormal|MiniDumpWithThreadInfo|MiniDumpWithHandleData|MiniDumpWithIndirectlyReferencedMemory (2)FullDump示生成一个所有信息的完全dump文件文件大小可能超过100M。 (3)生成的dump文件路径位于exe目录下的dump文件文件名 2010-01-26 12.33.50_3256.dmp 前面部分示日期,后面的3256示进程ID。 (4)如果进程有多个实例,每个进程都会生成一个dump
dump文件修改
07-05
可以读写IC卡,产生dump文件,Hex十六进制数据的1K文件,可自行转成可供WinHex等软件读取的4K文件
探索未知,破译保护:VMPDump 动态VMP脱壳工具
最新发布
gitblog_00172的博客
08-13 471
探索未知,破译保护:VMPDump 动态VMP脱壳工具 vmpdumpA dynamic VMP dumper and import fixer, powered by VTIL.项目地址:https://gitcode.com/gh_mirrors/vm/vmpdump 在安全研究和逆向工程的领域中,面对使用VMProtect 3.x x64加密保护的软件时,VMPDump是一把强大的钥匙。...
进程导入修复工具——Universal Import Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-09 3854
下载 非开源,下载UniversalImportFixer(UIF)v1.2FINAL-系统安全文档类资源-CSDN下载 使用前提: 需要先修复进程内的API调用,如:vmp保护的进程,API调用都会变成对vmp函数的调用,需要先将它们修复成对真实API函数的调用。 需要管理员权限打开。 功能: 根据代码段调用的API函数,对内存中进程的导入相关结构进行修复。 使用方法: 打开主界面: 填入进程ID,代码段的起始位置,代码段后面段的起始位置(代码段结束位置+1) 新..
Dump文件编辑中文版
01-09
Dump文件编辑中文版 分析DUMP文件数据 修改数据
VMProtect修复导入的插件
weixin_30859423的博客
07-13 276
壳版本:VMProtect.Ultimate.2.12.3 样本:TKLobby.exe 目的:IAT修复 作者:MrWrong 标题:VMProtect修复导入的插件 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! 严谨地说,本文所作的工作仅仅是在跑到VMP所保护的exe的OEP后,修复系统中LONG CALL 和 LONG JMP,还有一些MOV reg, [iat_...
Dump文件修复
qq1010624的博客
06-11 991
前言 分析木马时经常会碰见dump的恶意代码文件无法直接查看。 一是因为文件数据在内存展开,而区段的属性未修改; 二是因为数据在内存展开后,重定位数据被修改。 因此写个工具进行修复。 说明一下dump内存起始地址为dump恶意代码内存块的起始地址。 一、代码示例 1.文件对齐 //文件对齐 DWORD CFixDumpDlg::GetOffset(DWORD argc) { DWORD a = 0; DWORD b = 0; a = argc % 0x200; if (a
Imports Fixer v1.6
03-21
虽然Imports Fixer不是专门的脱壳工具,但修复导入的过程有时也可能间接涉及对程序外壳的处理,特别是当外壳干扰了导入的正确解析时。 压缩包中的"Imports Fixer.exe"是工具的可执行程序,可以直接运行来使用...
Jstack分析工具——IBM Thread and Monitor Dump Analyzer for Java
08-16
需要本地安装JDK并配置JAVA环境变量。 之后使用java -jar jca469.jar即可打开工具。 直接将dump出来的堆栈信息,打开,便可分析。
使用Windbg分析dump文件的一般步骤及要点详解
热门推荐
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
输入修复工具ImportFix
07-26
ImportFix od附带重建输入神器。输入修复,基址修改工具。
修复PE 文件导入
09-02
修复PE 文件导入的源代码,VS2003 工程
mfocgui类dump文件修复 fixdump
11-19
fixdump程序是用于修复mfocgui等等的Windows平台M1卡破解程序导出的dump文件的工具,默认这些工具导出的dump文件只有1k且无法直接打开,用这个工具修复后就会变成4k,用WinHex之类的十六进制编辑器打开就可以正常查看内容。PS:程序需要.NET Farmwork 4.0才能正常工作。——http://bobylive.com Firefly风物
fixdump_修复mfocGUI_dump_1k工具
01-14
fixdump_修复mfocGUI_dump_1k工具
pe结构分析之手工修复导入
ChuMeng1999的博客
10-25 1439
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入概念非常清楚。常见输入的结构是为了示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来示。 INT:全称import name table输入名称。简单来说,INT存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
简单的手动修复输入
weixin_30834783的博客
02-26 201
学习于 加密与解密3 手工构造输入 构造输入完毕后 再到 数据目录的输入位置填写地址和大小就行了 转载于:https://www.cnblogs.com/zcc1414/p/3982398.html...
vsd文件如何编辑修改_PDF编辑器哪个好?怎么快速修改PDF文件
weixin_39612110的博客
12-04 916
PDF编辑器哪个好?怎么编辑PDF文件的内容呢?最近很多朋友都在寻找好用的PDF编辑器,各式各样的工具到底哪一个比较好呢?为了解决大家的疑惑,今天小编就来跟大家说道说道用PDF编辑器编辑PDF文件的方法:首先我们来了解一下什么是PDF文件:PDF文件是一种通用文件格式, 优点在于阅读起来比较方便,同时具有较高的安全性,但由于安全性较高,致使PDF文件不易编辑。不过也不是没有编辑的办法,下面小编为大...
pe文件Import table导入的手工修复
xiao_ZHEDA的博客
08-16 318
对pe文件导入和对应位置的IAT,INT进行修复
oracle导入dump文件不全
05-13
如果你使用 `imp` 命令导入 Oracle 数据库时,发现没有全部导入,可以尝试以下方法: 1. 检查导入的日志文件,查看是否有错误信息。如果有错误信息,需要修复错误并重新导入。 2. 确认导出的 dump 文件中包含所有需要导入。可以使用 `imp` 命令的 `show=y` 参数查看 dump 文件中包含哪些,然后确认是否有遗漏。 3. 确认导入时使用的数据库用户具有足够的权限来导入。可以使用 `imp` 命令的 `ignore=y` 参数忽略权限错误。 4. 确认导入时使用的参数正确。例如,如果你只想导入特定的,需要使用 `imp` 命令的 `tables=` 参数指定这些。 如果以上方法都不能解决问题,可以考虑重新导出 dump 文件并重新导入数据库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值