我已经重建了一个 UPX 的 iat 表,打包到没有无效 thunk 的程度(全部为“是”),然后我修复了转储,但是当我在 impRec 中打开最终固定的可执行文件时,我得到了无效的 thunk,我最初将它们排序并排在一起一些新的无效 thunk。我用多个版本的 UPX 得到相同的结果,这是我完全解压打包的可执行文件的最后一个障碍,我哪里出错了。
重建的可执行文件中的 iat 错误
逆向工程
我在
2021-07-10 20:00:47
3个回答
尝试使用Scylla进行导入重建,因为 ImpRec 已过时(最后一次更新是从 2011 年开始的,并形成第三方)并且现在以出现问题而闻名。
upx -d 没用?对于某些人来说,当重建导入时可能是转发导入,有时无法正确解析,这在 vista 和更高版本的裂缝中发生了很多(通常是 SetLastError api)
Import REConstructor 重建导入表,而不是导入地址表。
如果您想验证 Import REConstructor 是否正常工作,最好使用诸如Dependency Walker 之类的导入表工具检查生成的 EXE 。使用 Import REConstructor 检查生成的 EXE(一旦加载)是没有意义的,因为其显示的输出基于运行时导入地址表,该表从未重建。
其它你可能感兴趣的问题