修复IAT
我们以vmp为例
https://wwmf.lanzout.com/i66kC27a0ekj
密码:2hq4
修复跳转表
我们来到OEP
通过运行,我们发现两个API调用
获取这两个API调用的地址,然后在一个具有执行权限的代码段中 写入跳转语句,如下图所示
记住指令之前要相隔一个字节,也就是与6对齐
然后将call 地址指向这些跳转
使用UIF重建IAT
打开 UIF(universal import fixer)
填入相应数据,跳转表要被包含在代码开始和代码止于之间,点击开始
此时转到跳转表,发现IAT被修复完成
使用Scylla修复IAT
将EIP强制转到OEP,打开Scylla,点击IAT Autosearch
点击get Imports
点击dump保存,再点击Fix Dump,选择刚才dump的文件即可
本文作者:乘舟凉
本文链接:https://www.cnblogs.com/czlnb/p/18358000
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步