-
-
[求助]这个算IAT吗,可以修复?求指点
-
发表于: 2017-11-1 11:38
-
图中算是IAT吗?怎么修复?
7C80A02F - FF25 9813807C JMP DWORD PTR DS:[<&ntdll.LdrFindResource_U>] ; ntdll.LdrFindResource_U
7C80A03A - FF25 9C13807C JMP DWORD PTR DS:[<&ntdll.LdrAccessResource>] ; ntdll.LdrAccessResource
1.原版程序
2.进入上面的CALL,向下就到这个CALL
3.
.
进入上面的CALL,向下就到这个CALL
4.
进入上面的CALL,向下就到这个CALL
5.
进入上面的JMP,向下就到这
6.
进入上面的 JMP,向下就到这
7.
进入上面的 JMP ,向下就到这
================
原版有:CE0000
====================
=================================================================================================
脱壳后修复不能运行,问题就出在这里。
1.脱壳后和原版一样
2.
和原版一样
3.
和原版一样
4.
和原版一样
==============
5.
和原版不一样
==================
,
=====================
没有CE0000这个段
========================
,
=========================================================================================================
修复的时候没有看到 ntdll.dll。
=========================
不知道这种情况应该如何修复。
如果我把脱壳后的程序
在图1中的CALL “DialogParamW”这里。
原程序出现主窗口。
如果脱壳后的程序把里面2个跳转改下,
就能出现窗口上面的标题栏,别的都没有。关键是程序没出错。
如果不该这2个跳转,程序就关闭了。
所以我想这一定是资源被干掉了,因为程序是在LoadResourse 中出错的
看天草的手动修复IAT ,他的IAT 代码在程序领空。
这个不是,所以试了,不管用。
求指点。。。。。。。。。。。。。。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
