[讨论]dll基址选为400000会如何-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]dll基址选为400000会如何

发表于: 2005-8-5 00:56 4781

[讨论]dll基址选为400000会如何

aki

2005-8-5 00:56

4781

今天碰到一armadillo加的dll,很奇怪,基址不是默认的,选择了400000,入口点是0008BA93,od载入后入口是008FBA93,用importrec修复的时候,老出错.他老认为基址是400000.
比如:
008CF114  00000000  ....
008CF118  7C93188A  ?? ntdll.RtlDeleteCriticalSection
008CF11C  7C9210ED  ?? ntdll.RtlLeaveCriticalSection

rva要填4CF114.并且设置里面如果去掉pe选项就会出错.
走到程序真正的入口的时候
008CB0B0 55             push ebp
008CB0B1 8BEC          mov ebp,esp
008CB0B3 83C4 C4       add esp,-3C

不管怎么填,importrec都报错.
不知这是不是个anti,还是个bug,这个dll的输入表该如何修复?

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (2)
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 2 楼 dump下来看看PE结构动了什么手脚偷懒的方法，载入另个程序，把输入表粘贴过去，再用ImportREC获取。当然，这个程序的输入表需要有原来输入表函数的各DLL 2005-8-5 09:01 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 3 楼呵呵，已经解决，谢谢fly 2005-8-5 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

aki

发帖

592

回帖

RANK

关注

私信

他的文章

[原创]Visual Assist v10.4.1624 6034
[分享]Visual Assist x v10.4.1616.0 9612
[分享]ollydbg Version 2.0 - Pre-alpha code (updated) 4246
[分享]HackShiled4.3.0.5 log文件加密算法 13681
一段好用的**代码 20346

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 2 楼 dump下来看看PE结构动了什么手脚偷懒的方法，载入另个程序，把输入表粘贴过去，再用ImportREC获取。当然，这个程序的输入表需要有原来输入表函数的各DLL 2005-8-5 09:01 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 3 楼呵呵，已经解决，谢谢fly 2005-8-5 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复