问一个关于ImportREC修复输入表的问题，懂的请进!!!-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼可能是搜索所有的call [Iat] 2007-2-4 00:24 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 3 楼最初由 Isaiah* 发布* 可能是搜索所有的call [Iat] 但是我自己在代码处添加了这样的call [xxx]也欺骗不了ImportREC,在还没修复IAT前程序中调用API的代码都是call [xxx]，但是自己伪装个call [xxx]结果ImportREC确没给修改!!! 2007-2-4 00:32 0
huainet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	huainet 4 楼要什么时候偶才能学来像你们呢？ 2007-2-4 01:32 0
kanxue 雪币： 61782 活跃值： (21986) 能力值： (RANK：350 ) 在线值：发帖 2385 回帖 17068 粉丝 620 关注私信	kanxue 8 5 楼 OriginalFirstThunk和FirstThunk只要一个有效就行，ImportREC修复FirstThunk，并不需要改程序本身的调用代码 2007-2-4 10:06 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 6 楼楼主去看PE结构 2007-2-4 10:12 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 7 楼最初由 kanxue* 发布* OriginalFirstThunk和FirstThunk只要一个有效就行，ImportREC修复FirstThunk，并不需要改程序本身的调用代码 ImportREC确实是修复FirstThunk(指向IAT)但是原始程序中的IAT被ImportREC改掉了，IAT地址一改，程序中调用的代码都必需改。 2007-2-4 12:50 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 8 楼 ImportREC可以Create New IAT 你去掉这个选项就不改了 2007-2-4 13:18 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 9 楼最初由 fly* 发布* ImportREC可以Create New IAT 你去掉这个选项就不改了谢谢fly的指点，但是我想了解的是ImportREC创建新的IAT后，如何搜索程序代码空间中的API调用，并将其指向新的IAT地址，其如二楼所说搜索所有call [xxx]，但是自己构建了这样的call [xxx]，却没有达到欺骗ImportREC的目的 2007-2-4 13:40 0
kanxue 雪币： 61782 活跃值： (21986) 能力值： (RANK：350 ) 在线值：发帖 2385 回帖 17068 粉丝 620 关注私信	kanxue 8 10 楼最初由 kangaroo* 发布* ImportREC确实是修复FirstThunk(指向IAT)但是原始程序中的IAT被ImportREC改掉了，IAT地址一改，程序中调用的代码都必需改。开始理解错了，你是对的。 ImportREC 的实现方法，看看其早期版本的源码有没有： 4a2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6b7c8g2)9#2k6Y4c8G2L8$3I4K6i4K6u0r3f1X3g2T1N6h3W2D9k6r3g2J5i4K6u0r3d9h3#2H3L8%4u0@1i4K6t1#2x3U0m8d9c8f1y4Q4x3V1k6u0L8i4m8d9c8f1y4Q4y4h3k6D9K9i4c8W2i4K6g2X3N6U0p5I4i4K6u0W2P5X3W2H3 2007-2-4 13:49 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 11 楼最初由 kanxue* 发布* 开始理解错了，你是对的。 ImportREC 的实现方法，看看其早期版本的源码有没有： 5bbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6b7c8g2)9#2k6Y4c8G2L8$3I4K6i4K6u0r3f1X3g2T1N6h3W2D9k6r3g2J5i4K6u0r3d9h3#2H3L8%4u0@1i4K6t1#2x3U0m8d9c8f1y4Q4x3V1k6u0L8i4m8d9c8f1y4Q4y4h3k6D9K9i4c8W2i4K6g2X3N6U0p5I4i4K6u0W2P5X3W2H3 嘿嘿，谢谢老大提供源码!!! 2007-2-4 13:59 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 12 楼郁闷的要死，vb编译的程序被bound Import总觉的我按照ImportREC方法修复输入表，一直不行(即OriginalFirstThunk清零)让FirstThunk指向IAT，汗!!!花了我一个中午时间!!!郁闷ing.... 2007-2-4 21:20 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 13 楼最初由 kanxue* 发布* OriginalFirstThunk和FirstThunk只要一个有效就行，ImportREC修复FirstThunk，并不需要改程序本身的调用代码一定不要被Bound Import不然的话系统动态库版本号和编译时一样，程序就不重新加载IAT了。IAT中的数据即为指向的函数名RVA偏移!!! 我说的是手动修复，嘿嘿，当然ImportREC会自动将数据目录的Bound Import清零，就不必当心了!!! 2007-2-4 21:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼可能是搜索所有的call [Iat] 2007-2-4 00:24 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 3 楼最初由 Isaiah* 发布* 可能是搜索所有的call [Iat] 但是我自己在代码处添加了这样的call [xxx]也欺骗不了ImportREC,在还没修复IAT前程序中调用API的代码都是call [xxx]，但是自己伪装个call [xxx]结果ImportREC确没给修改!!! 2007-2-4 00:32 0
huainet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	huainet 4 楼要什么时候偶才能学来像你们呢？ 2007-2-4 01:32 0
kanxue 雪币： 61782 活跃值： (21986) 能力值： (RANK：350 ) 在线值：发帖 2385 回帖 17068 粉丝 620 关注私信	kanxue 8 5 楼 OriginalFirstThunk和FirstThunk只要一个有效就行，ImportREC修复FirstThunk，并不需要改程序本身的调用代码 2007-2-4 10:06 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 6 楼楼主去看PE结构 2007-2-4 10:12 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 7 楼最初由 kanxue* 发布* OriginalFirstThunk和FirstThunk只要一个有效就行，ImportREC修复FirstThunk，并不需要改程序本身的调用代码 ImportREC确实是修复FirstThunk(指向IAT)但是原始程序中的IAT被ImportREC改掉了，IAT地址一改，程序中调用的代码都必需改。 2007-2-4 12:50 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 8 楼 ImportREC可以Create New IAT 你去掉这个选项就不改了 2007-2-4 13:18 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 9 楼最初由 fly* 发布* ImportREC可以Create New IAT 你去掉这个选项就不改了谢谢fly的指点，但是我想了解的是ImportREC创建新的IAT后，如何搜索程序代码空间中的API调用，并将其指向新的IAT地址，其如二楼所说搜索所有call [xxx]，但是自己构建了这样的call [xxx]，却没有达到欺骗ImportREC的目的 2007-2-4 13:40 0
kanxue 雪币： 61782 活跃值： (21986) 能力值： (RANK：350 ) 在线值：发帖 2385 回帖 17068 粉丝 620 关注私信	kanxue 8 10 楼最初由 kangaroo* 发布* ImportREC确实是修复FirstThunk(指向IAT)但是原始程序中的IAT被ImportREC改掉了，IAT地址一改，程序中调用的代码都必需改。开始理解错了，你是对的。 ImportREC 的实现方法，看看其早期版本的源码有没有： 4a2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6b7c8g2)9#2k6Y4c8G2L8$3I4K6i4K6u0r3f1X3g2T1N6h3W2D9k6r3g2J5i4K6u0r3d9h3#2H3L8%4u0@1i4K6t1#2x3U0m8d9c8f1y4Q4x3V1k6u0L8i4m8d9c8f1y4Q4y4h3k6D9K9i4c8W2i4K6g2X3N6U0p5I4i4K6u0W2P5X3W2H3 2007-2-4 13:49 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 11 楼最初由 kanxue* 发布* 开始理解错了，你是对的。 ImportREC 的实现方法，看看其早期版本的源码有没有： 5bbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6b7c8g2)9#2k6Y4c8G2L8$3I4K6i4K6u0r3f1X3g2T1N6h3W2D9k6r3g2J5i4K6u0r3d9h3#2H3L8%4u0@1i4K6t1#2x3U0m8d9c8f1y4Q4x3V1k6u0L8i4m8d9c8f1y4Q4y4h3k6D9K9i4c8W2i4K6g2X3N6U0p5I4i4K6u0W2P5X3W2H3 嘿嘿，谢谢老大提供源码!!! 2007-2-4 13:59 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 12 楼郁闷的要死，vb编译的程序被bound Import总觉的我按照ImportREC方法修复输入表，一直不行(即OriginalFirstThunk清零)让FirstThunk指向IAT，汗!!!花了我一个中午时间!!!郁闷ing.... 2007-2-4 21:20 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 13 楼最初由 kanxue* 发布* OriginalFirstThunk和FirstThunk只要一个有效就行，ImportREC修复FirstThunk，并不需要改程序本身的调用代码一定不要被Bound Import不然的话系统动态库版本号和编译时一样，程序就不重新加载IAT了。IAT中的数据即为指向的函数名RVA偏移!!! 我说的是手动修复，嘿嘿，当然ImportREC会自动将数据目录的Bound Import清零，就不必当心了!!! 2007-2-4 21:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复