第九课 手动确定IAT的地址与大小-脱壳基础知识入门(图)
|
| 更新时间:2007-12-4 1:45:33 |
责任编辑:阿loosen | |
|
在第八课中讲到,点击ImportREC的“IAT AutoSearch”按钮,一般情况下ImportREC可以自动识别出IAT地址与大小。但如果不能自动识别,就必须手动确定IAT地址与大小,然后将IAT的RVA与Size填进ImportREC,点击“Get Import”按钮就可得到输入表。
还是用上一节实例演示,用OD打开notepad.upx.exe,来到OEP处:
随便找一个API函数调用语句,如:
004010D3 FF15 E4634000 call [4063E4] ; kernel32.GetCommandLineA
其中地址4063E4就是IAT中的一部分,在数据窗口下命令:D 4063E4,显示如下:
上图每一组数据都是指向一个API函数,如 8D 2C 81 7C 就是地址:7C812C8D,在OD里按Ctrl+G,输入7C812C8D跳到这个地址就会发现是kernel32.GetCommandLineA函数:
1 2 3 下一页 |
|
安全中国首页 > 文章中心 > 脱壳技术