看雪论坛
发新帖

[求助]请教一个iat修复时的问题

DreamoneOnly 2017-8-29 12:22 270

修复iat时,发现调用的apphelp.dll的所有函数都没有函数名,rec显示这些函数无效,应该怎么处理。



上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (4)
scpczc 2017-8-29 14:33
2
dll函数静态调用分两种情况,在IAT加载时体现。一个动态库导出函数可以是名字导出也可以是Hint(相当于函数再动态库中的顺序或者称为索引)导出。  IAT加载判断地址的最高位是否为1。为1时表示该地址为索引值,不为0时表示函数名的地址。使用工具修复的话,会自动识别为索引的。
还有一种情况是你的函数地址被偷字节了,一般将地址-2即可显示为正确的名。或者直接跳转到函数地址位置上下可以看出是什么函数。
可能有些名词表述不准确,大概是这个意思。
DreamoneOnly 2017-8-29 18:27
3
嗯,谢谢
1
zplusplus 2017-8-29 21:03
4
apphelp.dll是系统兼容组件,会HOOK一些函数来兼容老旧软件。最简单的办法是换XP系统修复IAT
DreamoneOnly 2017-8-30 10:30
5
原来还是要装个xp虚拟机啊,哈哈。请问一楼说的地址-2可行不
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 域名 加速乐 保护 | SSL证书 又拍云 提供 | 微信公众号:ikanxue
Time: 0.012, SQL: 10 / 京ICP备10040895号-17