【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
正在努力学习,高手请缓缓飘移 ~~~~
其实自己对IAT的了解甚少,只知道一些软件在脱壳后不能运行,需要用ImportREC来修复IAT。今天有幸看到高人Nisy的一个爆破视频,多少对IAT有了进一步的了解,而且学到一招,通过OD查找脱壳后文件的IAT的大小来修复IAT,达到完整修复文件的目的。
一个叫“伤心黑白棋”的小软件,查壳 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo,看似非常简单的一个壳,用UPXShell脱,失败!用“超级巡警”脱,等了半天,死机!我靠,怎么搞?用OD载入,ESP定律很快来到OEP,右键Dump,连OD也死掉,什么牛B壳,不就是个UPX吗,怎么几种方法都不行呢? 理论上这只是个压缩壳而已,没有什么反调试动作。第一反应是,可能文件被压缩得太厉害,解压后的文件可能很大以致在DUMP的过程中,内存被耗尽而死机。后来发现一个更好的Dump的方法,直接用LordPE来转储。这种方法速度极快,超爽!
方法很简单,用OD来到OEP地址,打开LordPE,选中进程,右键第一个菜单转储保存,2秒就搞定。但转储出来的不能运行,于是用ImportREC修复。
默认自动搜索IAT的结果是IAT的大小为1B0,这个大小是错误的,导致修改后的文件仍然无法运行,需要手动获得,方法如下:
用ImportREC查得 IAT的首地址在019880E8 末地址在:01988DC0 ,可知IAT大小=01988DC0 -019880E8 =00000CD8
把结果00000CD8填入ImportREC的IAT大小框里,点“获取输入表”,此时可看到获得的输入表比刚才那个IAT大小获得的要多很多,最后点“修复抓取文件”即可。
最后再次感觉Nisy高人的视频演示让我学到了新东西。呵呵 ~~
--------------------------------------------------------------------------------
2008年09月24日 10:19:42
