手工修复PE文件的IAT

最新推荐文章于 2022-10-22 20:58:05 发布
最新推荐文章于 2022-10-22 20:58:05 发布
阅读量2.9k 收藏
点赞数
文章标签: dll 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujunjie/article/details/4767726
版权

在做PE文件二次开发时常常需要手工添加导入函数,例如程序导入了7个dll文件(如下图),每个导入的dll有一个对应的IID: 

其中前三个dll是程序隐式调用的,编译时会自动添加IID数组中,PE头中的数据目录项有一个AddressOfImport字段指向该数组的首地址,数组以一个全零的IID结束; 后面五个dll是手工添加进去的(可以借助LordPE工具添加),通过FirstTrunk可以看到这里的IID不是连续存放的,这就导致通过PE头找不到完整的IAT列表.

 

修复办法如下:

 

1.查找iat函数:

用ImportRec打开程序,手工输入每个IAT的RVA值和长度,(长度计算方法: [长度] = [IAT最后一个函数的RVA]- [第一个函数的RVA] + 4),点击获取输入列表,ImportRec会将找到的函数显示上列表中,对每个IAT进行同样的操作.

 

2.重建iat

在ImportRec的选项中设置"创建新的IAT",然后点击主窗口的"修复转储文件",对dump文件进行修复即可.这是修复后的效果:

 

xujunjie
关注
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
脱壳后的IAT修复
谢绝(无视)留言与私信
02-01 4753
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
PE文件格式修复工具
05-08
PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具
手工脱壳之FSG压缩壳-IAT修复
baochi8399的博客
07-19 339
目录 一、工具及壳介绍 二、脱壳 2.1、单步跟踪脱壳 2.2、IAT修复 三、程序脱壳后运行截图 四、个人总结 五、附件 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportR...
手动修复IAT
weixin_30402085的博客
06-17 782
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使...
修复IAT
qq_41071646的博客
09-14 1917
链接:百度云盘 密码:yvt2 其实这个操作 我感觉是有、操作的 修复iat 需要的 有oep  有 IAT表的地址 (大小其实最好也算出来) 然后这篇就是手动查找IAT 然后这个先找到oep 然后直接修复镜像   右键 修复镜像 保存 然后查找 IAT 其实这个也很简单  在上面的脱壳   有 call  dword ptr ds[425210] 然后 很明显是一个调用的 api ...
PE格式文件修复过程
slc1112的博客
12-13 3486
PE格式文件修复过程。一般来说,正常的PE结构PE头和PE体两部分组成。其中,PE头DOS头、DOS存根、NT头、节区头几部分,余下的节区合称为PE体。PE是Windows可执行文件总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关。意思是,即使一个文件没有任何扩展名,也可以是可执行文件。 话不多说,直接开始实例练习,打开一个dll文件分析,这个dll文件看样子大致是一个PE文件。这是因为后面有.text,.data等字符。 但是我们发现头部几个字节看着明显不是PE
pe结构分析之手工修复导入表
ChuMeng1999的博客
10-25 1442
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入表是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入表概念非常清楚。常见输入表的结构是为了表示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来表示。 INT:全称import name table输入名称表。简单来说,INT表存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
pe结构分析之手工段表构建
ChuMeng1999的博客
10-25 341
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.本文的数据段中涉及了有关stud_pe的使用方法和关于导入表的知识,因此建议先完成《pe结构分析之手工修复导入表》。 2.了解PE文件结构: 3.段表(节表)在PE中的作用。简单来说,段表是一个程序正真存放内容的地方。程序运行所执行的代码,执行中所用到的数据,都在段表这个结构之中。段表又被称为节表,英文(SECTION TABLES),是PE的核心内容,PE中的其他结构都是为了辅佐段表中的内容被正确加载和执行而产生的。 4.区段名功
PE工具 编译工具(Compilers)_★〓劳尔工作室〓★
xu的blog
05-26 2153
导读: PE编辑工具Stud_PE v. 2.3.0.1PE工具,用来学习PE格式十分方便。http://www.cgsoftlabs.ro/汉化版:http://bbs.pediy.com/showthread.php?s=&threadid=22840ProcDump32v1.6.2 FINALWindows下的脱壳工具并可进行PE编辑。可惜不更新了,己过
PE文件修改修复助手-两款合集
01-15
收集来的两款PE文件修复工具,非常小巧实用。一个是RepairPE,另一个是PE修复工具,国产的,牛人编写
SE2.40 IAT修复v2.0,此脚本可修复散列IAT
最新发布
03-16
SE2.40 IAT修复v2.0,此脚本可修复散列IAT,其他功能自己测试!
第34章-手脱UPX,修复IAT1
08-03
提示无效的 win32 程序,我们需要修复 IAT,我们需要用到一个工具,名字叫做 Import REConstructor,不要关闭 OD,将让其断在 OEP
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
repair pe(pe修复工具)
03-26
一个pe修复工具,可以修复pe文件的,用了就知道了!
逆向破解程序脱壳篇-压缩壳
wodafa的博客
05-10 8174
现在压缩壳都有很多自动脱壳机,但是加密壳呢?学习手工脱壳不是为了单纯去学怎么脱这一种壳,学习的是技巧,以后遇到其他的没有脱壳机的壳要尝试手工去脱,就像一个网站注入点,你可以用sqlmap去注入,如果有waf呢?Sqlmap脚本绕不过去呢?不还得靠手工去试,工具是死的,人是活的
【脱壳修复】脱壳修复IAT
这个人很懒什么都没有留下
10-22 92
如果脱壳后没有秀发IAT那也只能在你的电脑上运行,无法在别人电脑上运行,因为IAT是为了提升软件的兼容性,软件启动后每次运行都会获取当前电脑的API函数地址,脱壳后就会损坏IAT也就无法获取机器的API函数地址。可以通过od 右键 查看所有模块调用 来查询目前程序所调用的API函数地址。
IAT重定向的修复
zzx的博客
01-04 1333
有时候,一些强壳,仅仅定位到了iat表的位置,并且知道了大小,在importrec中也还是无法修复的,我们知道正常的iat表其中存放着各个函数的地址,而经过重定向的IAT表,其中并不是存放着地址,而是一个指针,这个指针,指向壳的某个内存空间中,然后在壳中代码片段将地址ret,这样的话,importrec就无法修复了,我们知道,正常的文件,他的iat表在未加载的时候是字符串名称,windows在加载
Themida/WinLicense3.0 IAT修复脚本(x64)(x64dbg)
Lixinist的博客
03-28 5059
不知道rafael在干什么,3.0的壳完全是倒退。。。 3.0的TM/WL没有混淆iat call,还把API代码抽取给删了。API出现的特征代码也不见得加强了多少     修iat最难的就是 1.定位API出现的时机 2.识别并还原iat call   这里第2难点由于3.0没有混淆iat call,所以不存在。想学习的请看这篇文章及其脚本(用x64dbg单步走脚本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值