organic

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
  66 随笔 :: 0 文章 :: 12 评论 :: 15万 阅读

06 2017 档案

IDA分析脱壳后丢失导入表的PE
摘要:1. 问题 一些程序经过脱壳后(如用OD的dump插件),一些导入表信息丢失了,导致拖入IDA后看不到API的信息(如右图所示,第一个红圈处实际是GetCurrentProcessId),给分析造成极大影响。 2. 分析 从OD来看,41F480处的值就是API GetCurrentProcessId的地址,也就是壳修改后的导入表的位置,该地址在.rsrc Section内,即程序的... 阅读全文
posted @ 2017-06-18 22:07 organic 阅读(1395) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示