IAT的加密的手动查找
2009-06-05 16:55:22 来源:WEB开发网0101573E CC int3
0101573F CC int3
F7进入后:
------------------------------------------------------------------
0100739D 6A 70 push 70
0100739F 68 98180001 push UnpackMe.01001898
010073A4 E8 BF010000 call UnpackMe.01007568
010073A9 33DB xor ebx,ebx
010073AB 53 push ebx
010073AC 8B3D CC100001 mov edi,dword ptr ds:[10010CC] ; UnpackMe.01022254
010073B2 FFD7 call edi
010073B4 66:8138 4D5A cmp word ptr ds:[eax],5A4D
010073B9 75 1F jnz short UnpackMe.010073DA
先不急着DUMP出来,我们用ImportREC修复一下看看IAT,如下图:
有许多无效的指针,等级一修复后,依然有几个,看来有IAT加密了,记录下几个无效的地址以及找到的OEP地址:
010010B0 01021D46 UnpackMe.01021D46
010010B4 010227BB UnpackMe.010227BB
OEP: 0100739D======739D
重新载入程序后,我们在010010B0上下“断点--硬件访问断点--DWORD”,如下图:
更多精彩
赞助商链接