设为首页收藏本站

 找回密码
 注册
搜索
热搜: 回贴
微赢网络技术论坛 门户 安全攻防 加密解密 查看内容

第九课 手动确定IAT的地址与大小-脱壳基础知识入门(图),脱壳基础知识入门,脱壳技术

2010-1-30 18:23| 发布者: admin| 查看: 59| 评论: 0|原作者: 回梦游仙


第九课 手动确定IAT的地址与大小-脱壳基础知识入门(图),脱壳基础知识入门,脱壳技术
2008年06月23日 星期一 下午 06:17
在第八课中讲到,点击ImportREC的“IAT AutoSearch”按钮,一般情况下ImportREC可以自动识别出IAT地址与大小。但如果不能自动识别,就必须手动确定IAT地址与大小,然后将IAT的RVA与Size填进ImportREC,点击“Get Import”按钮就可得到输入表。

还是用上一节实例演示,用OD打开notepad.upx.exe,来到OEP处:









随便找一个API函数调用语句,如:

004010D3 FF15 E4634000 call [4063E4] ; kernel32.GetCommandLineA



其中地址4063E4就是IAT中的一部分,在数据窗口下命令:D 4063E4,显示如下:









上图每一组数据都是指向一个API函数,如 8D 2C 81 7C 就是地址:7C812C8D,在OD里按Ctrl+G,输入7C812C8D跳到这个地址就会发现是kernel32.GetCommandLineA函数:















IAT是一块连续排列的数据,因此在数据窗口向上翻屏,直到出现00数据,寻找IAT起始地址:







然后向下翻屏,寻找IAT结束地址:









为了直观些,你也可以这样让数据窗口直接显示这些API函数,以确定IAT是否正确,在数据窗口点击鼠标右键:









调整显示格式后的数据窗口:









这样就直观了,IAT中每组数据指向一个API函数,各DLL之间是以000000分开的。



因此IAT范围:0x4062E4~0x406524 ,大小为0x406524-0x4062E4=0x240



如果IAT加密了,此时IAT中的地址不是指向系统DLL中的API函数了,可能指向外壳。这就十分有必要找到外壳处理IAT的代码了,前面己说过,外壳加载时,会模拟Windows加载器,向IAT里填充当前操作系统API函数的实际地址。所以,在IAT里设个内存写断点,就可中断到这段代码处。

重新加载notepad.upx.exe,在IAT某个地址下内存写断点,这里选择0x4062E4这个地址设内存写断点,先在数据窗口下命令:D 4062E4









然后选择一个地址,点击鼠标右键,下“内存写断点”。









此时只要有数据写入4062E4地址处,OD就会中断,按F9运行OD,会中断这里:



0040E96D > /8A02 mov al, [edx]

0040E96F . |42 inc edx

0040E970 . |8807 mov [edi], al

0040E972 . |47 inc edi

0040E973 . |49 dec ecx

0040E974 .^\75 F7 jnz short 0040E96D



这段还不是处理IAT,按F9继续执行程序,会中断这里:





0040E9E9 > /8A07 mov al, [edi]

0040E9EB . |47 inc edi

0040E9EC . |08C0 or al, al

0040E9EE .^|74 DC je short 0040E9CC

0040E9F0 . |89F9 mov ecx, edi

0040E9F2 . |57 push edi // 函数名字符串

0040E9F3 . |48 dec eax

0040E9F4 . F2:AE repne scas byte ptr es:[edi]

0040E9F6 . |55 push ebp // DLL模块句柄

0040E9F7 . FF96 A4EC0000 call [esi ECA4] ; kernel32.GetProcAddress

0040E9FD . |09C0 or eax, eax

0040E9FF . |74 07 je short 0040EA08

0040EA01 . |8903 mov [ebx], eax // EBX指向IAT,将取得的API地址填充进IAT

0040EA03 . |83C3 04 add ebx, 4 // 指向下一个地址

0040EA06 .^\EB E1 jmp short 0040E9E9

0040EA08 > FF96 A8EC0000 call [esi ECA8]



上面这段就是UPX外壳填充IAT的全过程,感兴趣的,动态跟踪一下就明白了。这里用GetProcAddress函数获得函数地址:



FARPROC GetProcAddress(

HMODULE hModule, // DLL模块句柄

LPCSTR lpProcName // 函数名

);


收藏 分享 邀请

最新评论

相关分类

QQ|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )

GMT+8, 2024-9-29 21:23 , Processed in 0.152867 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

返回顶部