【逆向】脱壳后修复IAT并关闭ASLR

最新推荐文章于 2022-05-26 20:30:00 发布
最新推荐文章于 2022-05-26 20:30:00 发布
阅读量1k 收藏 2
点赞数
分类专栏: 程序逆向之美 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shipsail/article/details/105463063
版权

0x1 寻找OEP

OEP八大法…这里不具体展开…
在这里插入图片描述
在这里插入图片描述

0x2 加壳程序的IAT

脱壳后如遇到程序无法正常运行(XP环境),可能是因为导入表破坏,需要手动修复。

通过PC文件格式的学习,可以知道导入表的RVA在可选头的DataDirectory数组中存放

在这里插入图片描述
图为加壳程序DESCRIPTOR的偏移 18008,大小64
在这里插入图片描述
根据节区头的信息定位IAT在第6个节区 .aspack 中

通过节区已知的虚拟偏移与物理偏移可以计算出DESCRIPTOR在文件中的位置。

offset = A008

在这里插入图片描述
找到导出表的位置,可以知道导入了两个DLL文件,可以分别计算出Name和IAT的偏移

NAME(1) = 9FC8
NAME(2) = A044

IAT(1) = 9FB8
IAT(2) = A04F

在这里插入图片描述
在这里插入图片描述
当然如果对PC头不了解,可以借助PE View进行查看。

在这里插入图片描述
这样就清晰的看到加壳后的程序在启动时导入的函数

0x3 运行时压缩的原理

在这里插入图片描述
可能存在疑问,为什么脱壳后需要手动修复IAT。

IAT主要用于DLL文件的重定位,IAT的引入相较于 16位dos程序 不再需要包含库文件,而是通过表的形式进行映射。如果IAT不准确,则程序无法执行相关库的函数。

压缩壳对节区进行了压缩,把IAT修改为壳自身的IAT,在解压缩的最后一步会还原IAT使程序可以正常运行,所以脱壳后需要进行IAT的修复。

通过OD查看运行后程序的IAT。
在这里插入图片描述
相较于加壳程序的IAT,运行加壳程序后真正的IAT要多的多,如果我们只进行脱壳,而不进行IAT的修复(如下图所示)
在这里插入图片描述
程序的IAT是被损坏的

0x4 IAT修复

使用ImportREC工具,加载处于OEP的程序进程
在这里插入图片描述
填写正确的IAT信息
在这里插入图片描述
获取到内存中的IAT信息,然后删除无效函数后转存到脱壳后程序中,程序即可正常运行。
在这里插入图片描述
在这里插入图片描述

0x5 脱壳程序无法在WIN7以上平台运行

windows vista / win7 系统就开始使用ASLR技术防止溢出攻击。使得每次加载程序都加载到一个随机虚拟地址。ASLR依赖于重定位表进行定位,对于EXE程序来说,重定位是可选的,通过关闭ASLR即可解决。
在这里插入图片描述
将 40 81 改为 00 81

TiggerRun
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向工程核心原理学习笔记1-通过IAT手工定位notepad.exe中的导入函数
HappyOrange2014的专栏
08-24 1748
本文将通过PEview 0.99这款PE查看器来复习与IAT相关的知识,复习方式就是手工查找xpsp3下notepad.exe文件中第一个导入DLL中的第一个导入函数。之所以选用PEview而不用winhex类软件,主要是为了便于验证自己的思路是否正确。在熟悉了IAT手工查找的具体过程之后,还是使用工具软件直接获取信息比较方便。
pe结构分析之手工修复导入表
ChuMeng1999的博客
10-25 1270
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入表是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入表概念非常清楚。常见输入表的结构是为了表示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来表示。 INT:全称import name table输入名称表。简单来说,INT表存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
为什么某些壳脱壳后需要修复IAT
xrain_zh的专栏
04-04 3261
来自:http://bbs.pediy.com/showthread.php?t=151939 为什么要修复IAT? 首先得说一下程序调用DLL导出函数的原理, PE调用DLL里的函数,一般是先加载这个DLL模块到它的进程地址空间, 然后在加载后的地址范围内找到每个调用函数的地址, 在程序中你可以使用LoadLibrary()这个系统API去动态去加载某个DLL, 再通过G
滴水逆向三期 PE基础 绑定导入表
四位的博客
05-18 308
分析 系统软件会有绑定导入表 也就是IAT已经被设定为函数地址, 但是WIN10中即便是记事本也没了, 只能用xp的notepad代替. 这个表的目的是减少程序启动时间, 在导入表中时间戳为-1时代表有绑定导入表. OffsetModule这个值需要加上第一个IMAGE_BOUND_IMPORT_DESCRIPTOR的地址, 而不是当前dll的地址 NumOfModuleForwarderRefs表示当前dll所需要的其它dll, 在当前绑定导入表之后紧跟的结构就是 typedef struct _IMA
深入IAT HOOK
无心的博客
07-13 2148
在上一篇文章手动打造一个弹窗程序中,我们自己手写了一份导入表,在调用函数的时候,我们CALL的是导入地址表的一个地址,为什么要调用这里,而且在构造导入表的时候,导入名称表(INT)和导入地址表(IAT)里面装的内容是一样的,程序又是怎么去调用的,在这篇文章中就来分析一下。 注:以下操作是在 XP 上实现的,其他版本注意写保护机制 目录 0x00 IAT表的填写 0x01 IAT HOOK的原理 0x02 实现代码 0x00 IAT表的填写 在上一篇文章中,我们构造导入表的时候,将 IAT 表和 INT 表都
软件逆向工程脱壳分析
09-06
独立开发软件保护系统,深度了解脱壳的本质,提高软件逆向水平 中级班的课程大致分为前期PE文件格式的解析,中期保护壳的编写,后期实现脱壳,变异原理以及虚拟机保护原理 编写保护壳详细详解各种加密思路,防破解思路,以及反调试,PE格式等相关知识等,让自己对PE文件格式完美上升一个档次,文件格式又分为基础与应用,基础是次要,应用是主要,老师会深入浅出的带领同学们对PE文件格式进行各种应用,比如实现修复重定位完成DLL加壳,提取原入口点并且对这个入口点进行加密保护,以及对区段的各种加密手法与技巧,如何实现IAT保护.识别代码块保护学习这一门课程具有极强的功效!为自己后面脱壳打下坚实的基础
逆向破解
weixin_30530339的博客
07-06 406
逆向破解 暴力破解 原理: 脱壳以后,如果软件有登录机制,我们可以利用软件登录时提供的关键字,反汇编后找到关键跳转。 确认跳转是否与登录失败有关,如果有关系,想办法让跳转不实现。 直接修改汇编代码,把关键命令跳转修改为nop,就可以去除登录验证了。 实验过程: 尝试运行 发现关键词False PEiD查不出壳,用OD调试 Ctrl+g 00401000来到代码段 右键中文搜索引擎,搜索关...
写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc)
可乐松子的博客
05-26 3341
文章目录Part 2:输入表和重定位表1.ASLR预备知识2.输入表支持detail 1:什么是输入表?detail 2:PE Header描述detail 3:真实的输入表detail 4:编程处理数据结构编程实现扩展:LIEF中重建Import Table介绍3.管理重定位表detail 1:什么是重定位表?detail 2:重定位表结构detail 3:编程处理4.结果展示5.参考 Part 2:输入表和重定位表 本文主要处理Part 1中遗留的2张表:输入表和重定位表(执行一个ASLR使能的文件不
Win7打印IAT表单直接蓝屏。XP下面没有问题
陈刚编程心得与知识集
01-15 943
PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)Base; PIMAGE_NT_HEADERS32 pNtHeader32; PIMAGE_NT_HEADERS64 pNtHeader64; PIMAGE_IMPORT_DESCRIPTOR pIatDes; PIMAGE_IMPORT_BY_NAME ImportByName;
菜鸟脱壳脱壳的基础知识(六)——手动查找IAT修复Dump的程序
banhanjun1518的博客
07-05 691
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
逆向软件后,手把手教你如何修复IAT
10-31
逆向软件后,教你手把手修复IAT
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
junzz.exe 脱壳-偷梁换柱修复IAT练手程序
05-04
脱壳-偷梁换柱修复IAT练手程序
软件的脱壳 IAT修复 TLS修复.zip
07-03
软件的脱壳 IAT修复 TLS修复.zip
SE2.40 IAT修复v2.0,此脚本可修复散列IAT
03-16
SE2.40 IAT修复v2.0,此脚本可修复散列IAT,其他功能自己测试!
IAT脱壳修复工具(Scylla) V0.9.3 汉化版
05-23
IAT脱壳修复工具(Scylla) V0.9.3 汉化版
PE工具 IATRebulid-V1.02 IAT 重建工具
03-16
[PE工具] IATRebulid_V1.02 IAT 重建工具,脱壳修复
第43章-ACProtect V1.09脱壳(编写脚本修复IAT)1
08-03
我们可以看到很多 API 函数的调用,其中有些 IAT 项是正常的,显示出了函数名称,但是大部分的 IAT 项都是经过重定位的,并没有显示函数名称,我们随便选中
ZP双段IAT手动脱壳修复视频
10-23
ZP双段IAT手动脱壳修复视频-手把手教你怎么脱zp的壳,并且带有IAT修复
软件的脱壳 iat修复 tls修复.zip 共1个文件 rar:1个
最新发布
01-21
软件的脱壳是为了方便进行逆向分析和修改,而iat修复和tls修复则是对程序中具体的问题进行修复,以确保软件能够正常运行和执行。 综上所述,应该首先将rar文件解压缩,然后找到具体的脱壳iat修复和tls修复相关的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值