ImpRec 无效 NtdllDefWindowProc_A 似乎有效

逆向工程 调试 我在 保护
2021-06-16 00:24:44

我有一个问题,来自 ntdll 的 NtdllDefWindowProc_A 函数在 user32 thunk 中。

在此处输入图片说明

跟随 @Jason Geffner 在ImpRec 中的回答无效 thunks 似乎有效我试图将它从 user32 更改为 NtdllDefWindowProc_A,但是当我在使用 PE 工具修复后重建它时,该文件根本不起作用。

然后我再次尝试从块中删除 NtdllDefWindowProc_A 函数,重建工作和文件运行没有问题。

从文件中删除 NtdllDefWindowProc_A 可能不是一个好主意......那么我做错了什么?

谢谢大家的帮助:-)

1个回答

在您的示例中,静态导入user32!DefWindowProcA被转发到ntdll!NtdllDefWindowProc_A.

您需要双击ntdll!NtdllDefWindowProc_AImport REConstructor 中条目并将其更改为user32!DefWindowProcA.

其它你可能感兴趣的问题
上一篇INC 指令如何影响奇偶校验标志? 下一篇多次运行应用程序时不同的基本块数