加密与解密(四)重建输入表

于 2019-06-05 09:12:22 发布
阅读量455 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 自我修养
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36308972/article/details/90896447
本文深入探讨PE文件运行时,Windows系统加载器如何通过OriginalFirstThunk和FirstThunk填充IAT,实现输入函数地址的定位。特别关注加壳程序如何模仿此过程及ImpREC在恢复输入表结构中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
PE文件运行时,Windows系统加载器首先搜索OriginalFirstThunk,如果存在,装载程序迭代搜索数组中的每个指针,找到IMAGE_IMPORT_BY_NAME结构所指向的输入函数的地址,然后用函数入口地址来替代由FirstThunk指向 的IMAGE_THUNK_DATA数组里的元素值(即用真实的函数地址填充到IAT里)

**如果程序加壳了,那么壳自己模仿Windows装载器的工作来填充IAT中相关的数据。**通常只有一个IAT表,其他部分不存在(并不是所有的都这样)

ImpREC可以用于恢复输入表的结构

【常见开源库的二次开发】基于openssl的加密解密——Base58比特币钱包地址——算法分析(三)
嵌入式技术开发
07-15 1074
Base58编码是在Base64字符集基础上,为了避免混淆而进行的优化。它去除了在Base64中可能引起混淆的字符,包括数字0、大写字母O、小写字母l、大写字母I,以及“+”和“/”两个符号。这样的设计使得Base58在视觉上更为清晰,减少错误。
28、加密解密安全通信技术详解
最新发布
qsc901234的博客
07-19 29
本博客详细介绍了加密解密技术,涵盖使用 RSA 和 AES 进行数据解密的具体实现方法,并通过 OpenSSL 库演示了如何进行安全通信。内容还包括 SSL/TLS 协议的工作原理、安全握手过程、使用 OpenSSL 实现安全客户端服务器通信的方法,以及自签名证书的生成和管理。适用于对网络安全、数据加密及 OpenSSL 编程感兴趣的开发者和学习者。
输入重建工具
07-18
本工具用于程序脱壳后需要重新修建才能运行的问题,文件内有试用方法
重建输入
weixin_34239169的博客
06-18 179
重建输入 转载于:https://www.cnblogs.com/LoveFishC/p/3846900.html
ImportREC重建输入
weixin_30580341的博客
07-10 303
1.目标文件已完全被Dump,另存为一个文件 2.目标文件必须正在运行中 3.事先找到目标程序真正的入口(OEP)或IAT的偏移大小 以加壳RebPE.exe为例,首先OD加载: 调试到00413001,设置硬件断点hr esp F9断下来,单步调到OEP处: 这时启用LoadPE工具,找到对应的进程,右键先执行"correct ImageSize”,再执行"d...
33. 脱壳篇-重建输入
墨痕诉清风的博客
03-08 1082
OD自动分析MessageBox,call 004011EA,他是怎么分析知道函数MessageBox 打开PE头文件,INT 我们要重点关注的字段一个是ImageBase基址,一个是Import Table address导入地址,这里导入的地址是基地址+偏移地址 在代码区搜索导入地址 分析完如下图 查找这两个偏移地址就可以看到dll和函数的地址...
手动脱壳技巧:dump重建输入操作详解
### 知识点: 手动脱壳—dump重建输入 #### 一、手动脱壳概念 手动脱壳是指软件安全专家或逆向工程师通过分析和理解加壳程序的行为,手动将程序的壳剥离,恢复出原始的可执行文件。加壳是一种常见的软件保护...
加密压缩解密
![加密压缩解密](https://www.baumer.com/medias/sys_master/images-content/images-content/h46/hf3/9037277528094/Grafik-Technologie-JPEG-Raster2Block.jpg)...在第章,我们讨论了加密压缩结合应用的重要性以及
海泰克触摸屏项目密码解密软件直读工具 注意是电脑上文件解密 不是解上传密码.zip
05-12
解密软件的工作原理可能包括查找并解析项目文件中的加密算法,然后通过特定的解密算法来还原未加密的数据。这个过程可能涉及逆向工程,即从已知的加密结果推导出加密方法。解密成功后,用户可以使用解密后的项目文件...
加密输入工具
11-20
可以加密输入 具体用法大家自己发挥 用法很简单 文本里面有介绍
输入加密工具
08-02
输入加密工具特征码免杀360小红伞最佳工具
手动脱壳—dump重建输入 相关例子附件
08-31
博客文章《手动脱壳—dump重建输入》,文章地址:http://blog.youkuaiyun.com/ccnyou/article/details/7930817
输入隐藏、加密的原理和手工实现
10-04
原创教程,手工隐藏输入的,大家学习下吧
重建 PE 文件的输入 TiTi
xuplus的专栏
04-21 2464
标题:重建 PE 文件的输入原著:TiTi/BLiZZARD 翻译:Sun Bird [CCG] 日期:2000年5月24日 1. 前言 ======= 大家好 :) 我之所以写这篇短文,是由于我在 Dump 时发现,很多加压、加密软件都使得输入(Import Table)不可用,所以 Dump 出的可执行文件必须要重建输入。而在普通的讲授 Win32 汇编的站点上我没有
简单的手动修复输入
weixin_30834783的博客
02-26 243
学习于 加密解密3 手工构造输入 构造输入完毕后 再到 数据目录的输入位置填写地址和大小就行了 转载于:https://www.cnblogs.com/zcc1414/p/3982398.html...
重建 PE 文件的输入
lionzl的专栏
04-15 1328
原著:TiTi/BLiZZARD 翻译:Sun Bird [CCG] 日期:2000年5月24日 1. 前言 ======= 大家好 :) 我之所以写这篇短文,是由于我在 Dump 时发现,很多加压、加密软件都使得输入(Import Table)不可用,所以Dump 出的可执行文件必须要重建输入。而在普通的讲授 Win32汇编的站点上我没有找到这样的介绍,所以如果你对此
程序输入修复
积累点滴,保持自我
12-07 2515
1.使用的一款修复输入的工具:Import REConstructor,如下图所示:  2.一个加过壳的程序在经过脱壳后,输入一般会出现问题,出现各种程序不能运行的情况,这时就需要修复输入。打开未脱壳的程序(因为该修复输入的程序)
ImportREC输入重建工具
wang010366的专栏
09-11 2938
Import REConstructor可以从杂乱的IAT中重建一个新的Import(例如加壳软件等),它可以重建Import的描述符、IAT和所有的ASCII函数名。用它配合手动脱壳,可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等壳。 在运行Import REConstructor之前,必须满足如下条件: 目标文件己
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值