dump文件 修复iat_在OD中手工修复IAT重定向

最新推荐文章于 2024-05-28 09:36:46 发布
最新推荐文章于 2024-05-28 09:36:46 发布
阅读量589 收藏 2
点赞数
文章标签: dump文件 修复iat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28829173/article/details/111966494
版权

前言

壳代码,都会重定向IAT表项到壳里的地址.

如果找到真正的IAT表项的API地址列表, 自己手工填到ImpREC中挺繁琐的.

这时, 可以在已经停在OEP处的OD中, 先在ImpREC中填写正确OEP, 得到IAT表项.

当IAT表项在壳内时(无效项), 在OD中根据ImpREC提示的IAT表项地址, 手工找到真实的API地址, 将IAT手工填充(2进制拷贝,2进制粘贴), Dump出去壳PE. 在用ImpREC再次Load, 修复IAT, 只要做少量确认和删除任务, IAT就可修复完成.

记录

异常计数法

对于有对抗的壳, 大概只能采用异常技术法(相对于F8, F7)走到OEP.

OD载入PE后, 直接(SHIFT+F9), 记录N-1次的计数到程序启动.

再次载入PE, (SHIFT+F9)(N-1)次, 在Memory窗口F2断点到代码段(PE头下面就是代码段).

最后一次(SHIFT+F9), 命中时, 离OEP就几步(过了JMP就是OEP), 可以F8,F7走过去.

ImpREC中无效IAT项的识别

无效IAT

可以在无效表项上右击, 选择反汇编, 看看是不是找到有效IAT(包括IAT表项重定向)

可以看出, 这个IAT表项是ImpREC识别错了, 没有指向API地址, 也没有API重定向. 在这个IAT上看看, 如果表项都是无效的, 可以将这个IAT整个cut掉.

被重定向的IAT

去[0x3f11f0]看, 确实是实际的IAT

在OD中手工修复IAT重定向

拿IAT为例子

这个表项内容在壳地址里.

IAT范围

IatAddrBegin = 00268284

IatAddrEnd = 00268284 + 0xB7 * 4 = 00268560

FirstRva = 00268284

FirstApiPtr = 003f0000

FirstRealApiPtr = [0x003f11f0] = 0x7c809bd7

IAT表项是以0结尾的, 从第一个IAT表项往下拉, 拖选到0结尾的地址, 选择2进制拷贝.

在CPU窗口内存小窗口, go到IatAddrBegin, 往下拖选到IatAddrEnd(如果实际API个数较少, 可以拖到多留一个\0的位置, 总之选择2进制粘贴时, 目标地址范围选择区域要>=原地址范围), 选择2进制粘贴.

此时, EIP就在OEP, 用OllyDump插件Dump出无壳PE. 用ImpREC再次载入OD中的目标程序, 填写OEP, 取IAT集合. 这时, 只有少量无效IAT, 可以用看反汇编的方法确认无效项, 然后cut掉. 当IAT全部有效时, 修复IAT. 可选PeRebuild, 脱壳完成.

《第一财经》YiMagazine
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
脱壳进阶篇——IAT修复与解密
摔不死的笨鸟的博客
12-09 2833
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
OD手工修复IAT重定向
谢绝留言与私信
02-12 2829
前言壳代码,都会重定向IAT表项到壳里的地址. 如果找到真正的IAT表项的API地址列表, 自己手工填到ImpREC挺繁琐的. 这时, 可以在已经停在OEP处的OD, 先在ImpREC填写正确OEP, 得到IAT表项. 当IAT表项在壳内时(无效项), 在OD根据ImpREC提示的IAT表项地址, 手工找到真实的API地址, 将IAT手工填充(2进制拷贝,2进制粘贴), Dump出去壳
ImpREC手工指定IAT的表项值
谢绝留言与私信
02-11 1174
前言在做Armadillo1.x的脱壳练习, 找OEP, 脱壳还是一样的. 但是在IAT修复时, 遇到了新知识点. 我找到了壳代码写IAT表项的代码, 由于很乱, 没有找到合适的点来修改(让壳代码写IAT表项时, 写真实的API地址), 但是我得到了壳代码自己用的一段导入dll名称和dll内的导入函数的文本列表. 经过跟ImpREC比较, 发现有好消息, 这个文本列表和ImpRECdl
探索软件逆向的奥秘:VMProtect 3.x IAT修复利器
最新发布
gitblog_00055的博客
05-28 541
探索软件逆向的奥秘:VMProtect 3.x IAT修复利器 项目地址:https://gitcode.com/woxihuannisja/vmp3-import-fix 在逆向工程与软件保护的世界里,每一项工具都是解锁软件秘密的关键。今天,我们要介绍的是一个针对VMProtect 3.x版本的强大工具——“VMProtect 3.x IAT Fix and Rebuild Import Tab...
<逆向学习第三天>手动脱FSG壳,修复IAT
weixin_30737363的博客
01-12 236
其实对于简单的壳来说,脱壳常用的方法也无非是那几种,但是每种有每种的好处,具体使用那种方法视情况而定,我今天学习的这个壳很简单,但是重点在于修复IAT。 一、查壳: FSG 2.0的壳。 二、脱壳: 上篇随笔所说的3种方法都可以使用,单步法,内存2次镜像,ESP,这里内存2次镜像我们发现没有.rsrc区段,所以我们可以直接从地址为00401000的地方下断点,运...
脱壳后的IAT修复
谢绝留言与私信
02-01 4665
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
od.rar_dump_od
09-24
在“od.rar_dump_od,我们可以看到它被用来进行文件数据的转储。 `od`命令的基本用法是`od [选项] 文件名`。以下是一些关键选项的解释: 1. `-c` 或 `--format=c`:以字符格式显示数据,这对于查看文本文件的...
Mysql注入的outfile、dumpfile、load_file函数详解
09-09
在这个话题,我们将深入探讨三个与文件操作相关的MySQL函数:`INTO OUTFILE`、`INTO DUMPFILE`和`LOAD_FILE()`,它们在SQL注入攻击扮演着重要角色。 1. `INTO OUTFILE`: 这个函数用于将查询结果直接导出到一...
pedump.rar_dump_pedump_pe文件_ts 分析_tsdump download
09-19
分析pe文件的信息,节表section信息,各种DATA_DIRECTORY位置,信息和资源信息,function imports table和function exports table
第34章-手脱UPX,修复IAT1
08-03
一旦找到 IAT 的范围,我们就可以在 Import REConstructor 修复它,使其指向正确的 DLL 和函数地址,从而使程序能够正常运行。 总之,手动修复 IAT 是一个需要深入理解操作系统加载过程和程序执行机制的过程。...
使用dump transaction with no_log的危险性说明
09-11
在SQL Server,`dump transaction with no_log`是一个高级命令,用于在特定情况下清空事务日志,但其使用必须谨慎。此命令的危险性在于它不会记录任何日志信息,这可能导致数据一致性问题和潜在的数据丢失风险。...
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
一款VMP内存DUMPIAT修复工具
pandazhengzheng的博客
02-09 1202
一款VMP内存DUMPIAT修复工具
IAT重定向修复
zzx的博客
01-04 1303
有时候,一些强壳,仅仅定位到了iat表的位置,并且知道了大小,在importrec也还是无法修复的,我们知道正常的iat表其存放着各个函数的地址,而经过重定向IAT表,其并不是存放着地址,而是一个指针,这个指针,指向壳的某个内存空间,然后在壳代码片段将地址ret,这样的话,importrec就无法修复了,我们知道,正常的文件,他的iat表在未加载的时候是字符串名称,windows在加载
手动修复IAT
weixin_30402085的博客
06-17 767
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDumpdump效果也不错,这里我们来使...
【脱壳修复】脱壳修复IAT
这个人很懒什么都没有留下
10-22 35
如果脱壳后没有秀发IAT那也只能在你的电脑上运行,无法在别人电脑上运行,因为IAT是为了提升软件的兼容性,软件启动后每次运行都会获取当前电脑的API函数地址,脱壳后就会损坏IAT也就无法获取机器的API函数地址。可以通过od 右键 查看所有模块调用 来查询目前程序所调用的API函数地址。
OD脚本学习
weixin_30608131的博客
08-31 137
重要的 一般用得到的: $RESULT //返回值 cmp $VERSION, "1.47" ja `````` #INC "脚本名" #LOG //开始记录运行指令 ADD 目的,源 add [401000],5 //[4010000]+5 add x,16.50 add y,"times" alloc //申请内存 RWE alloc 1000 1000...
修复IAT
qq_41071646的博客
09-14 1882
链接:百度云盘 密码:yvt2 其实这个操作 我感觉是有、操作的 修复iat 需要的 有oep  有 IAT表的地址 (大小其实最好也算出来) 然后这篇就是手动查找IAT 然后这个先找到oep 然后直接修复镜像   右键 修复镜像 保存 然后查找 IAT 其实这个也很简单  在上面的脱壳   有 call  dword ptr ds[425210] 然后 很明显是一个调用的 api ...
OD里alt+F9和Ctrl+F9和shift+F9的区别
weixin_33907511的博客
02-05 477
Shift+F9 - 与F9相同,但是如果被调试程序发生异常而止,调试器会首先尝试执行被调试程序指定的异常处理(请参考忽略Kernel32的内存非法访问)。 Ctrl+F9 - 执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。 Alt+F9 - 执行直到返...
coredump文件过大_Linux对打开文件数量的限制
06-10
在 Linux ,对于单个进程打开的文件数量有一个限制。这个限制可以通过 ulimit 命令设置,例如: ``` $ ulimit -n 65535 ``` 这将允许进程打开最多 65535 个文件。但是,即使设置了这个限制,coredump 文件仍然...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值