存档

文章标签 ‘导入表’

PE文件格式解析(三)——导入表的解析

2011年4月16日 没有评论

在解析导入表之前,要先得到PE文件的数据目录表,数据目录表存在于可选头之中,以一个数组的形式存在,第二个元素指出导入表的一些信息。具体请参考《PE文件之IMAGE_OPTIONAL_HEADER》一文。
通过IMAGE_DATA_DIRECTORY的第二个VirtualAddress可以得到导入表的RVA(到处都是RVA,所以弄懂RVA的概念以及熟悉RVA与Offset的转换是十分重要的,具体请参考《PE文件格式解析(二)》一文)。将RVA转为Offset之后,就可以读取IMAGE_IMPORT[......]

继续阅读

分类: PE文件格式 标签: , ,

使用ImportREC修复脱壳文件导入表

2011年3月25日 2 条评论

在逆向调试中往往会遇到脱壳后文件无法正常运行的现象,这时候就需要尝试修复导入表。需要用到的几个工具:Ollydbg、ImportREC,当然,如果OD没有dump功能,还得选一个工具,可以为LoadPE等。导入表的修复时脱壳中必须要掌握的一项基本技能,下面是本人的一些学习记录:(仅供参考,如有错误,请指正)
首先是脱壳,OD载入,可以用ESP定律(如果可行的话)来脱壳(不懂?看这里《ESP定律脱壳》一文),找到程序的OEP。找到OEP之后,在OD的CPU窗口中右键,选择“在OllyDump脱壳调[......]

继续阅读

分类: 逆向调试 标签: , , ,