IAT脫殼修復(fù)工具(Scylla)

最新評(píng)論查看所有(1)條評(píng)論 >

第 1 樓 甘肅蘭州蘭州大學(xué)無線校園項(xiàng)目 網(wǎng)友 客人 2013/12/6 10:03:56

一些加密殼會(huì)在IAT加密上面大做文章，用HOOK - API的外殼地址來代替真是的IAT的地址，讓脫殼者無法正確的還原程序的原始IAT，使得程序不能被破解，所以我們處理這些被加密IAT的地址的辦法是找到加密這些IAT的地址的跳轉(zhuǎn)（就是Magic Jump），將它修改為強(qiáng)制跳轉(zhuǎn)（JMP），使之無法加密IAT，從而達(dá)到脫殼修復(fù)的目的！ 因?yàn)槌绦虻腎AT是連續(xù)的排列的，所以我們只需要找到IAT的起始位置和末位置，就可以確定IAT的地址和大�。∮械腎AT是JMP 類型的，有的是CALL類型的，所以，要想確定IAT的地址，就要先知道這個(gè)程序是怎樣調(diào)用IAT的

支持( 0 ) 蓋樓(回復(fù))