输入表重建工具(ImportREC)
类型:编程开发版本:V1.7 绿色中文版更新:2024-04-20 10:47:26大小:590KB系统:WinXP, Win7, WinAll语言:简体
精品推荐
排行榜
Import REConstructor可以从杂乱的IAT中重建一个新的Import表(例如加壳软件等),它可以重建Import表的描述符、IAT和所有的ASCII函数名。
用它配合手动脱壳,可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等壳。
在运行Import REConstructor之前,必须满足如下条件:
1) 目标文件己完全被Dump到另一文件;
2) 目标文件必须正在运行中;
3) 事先要找到真正的入口点(OEP);
4) 最好加载IceDump,这样建立的输入表较少存在跨平台的问题。导入重建器可以重建一个新的导入表(如shell软件等)。),它可以重建描述符、IAT和导入表的所有ASCII函数名。【/br/]通过手动shell,您可以对UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack、ASProtect等进行shell操作。【/br/]【/br/]在运行导入重构器之前,必须满足以下条件:【/br/]1)目标文件已完全转储到另一个文件;【/br/]2)目标文件必须正在运行;【/br/]3)提前找到真正的切入点(OEP);【/br/]4)最好加载IceDump,这样建立的输入表跨平台问题就少了。
施用方式
1.目标文件已完全转储并保存为文件。
2.目标文件必须正在运行。
3.提前找到目标程序的实际入口(OEP)或IAT的偏移量和大小。
以带壳的RebPE.exe为例。首先,OD装载:
调试到00413001并设置硬件断点hr esp。
F9断开并在一个步骤中转移到OEP:
此时,启用Loadpe工具,找到对应的进程,右键执行“更正ImageSize”,然后执行“dump full & quot,存为dumped.exe。
运行ImportREC并选择RebPE.exe进程:
在右下角输入正确的RVA OEP值,并在此处填写1130。默认情况下,ImportREC在重新构建输入表时也会使用该值来校正入口点,提供正确的OEP将有助于分析IAT的准确位置。点击“IAT自动搜索”按钮自动检测IAT偏移和大小。如果出现:
表明输入的OEP起了作用,如果没有起作用,则必须手动填写RVA和IAT的大小。
单击“获取导入按钮,让它分析IAT结构以获取基本信息,如下所示:
在本例中,所有API都被正确识别,并显示valid:YES。如果无法识别,它将显示为有效:否。单击“显示无效”按钮来分析所有无效信息,
在找到的导入函数窗口中右键单击,选择色雷斯级别1(Disasm),然后单击“显示无效”
最后一步是将Dump.exe添加到上述所有IAT部件中,并选择“添加新部分”,单击修复转储并选择您刚刚抓取的Dump.exe。此时,将生成一个名为Dump_exe的文件,并将输入表放在新添加的。马克特街区。这时,IAT修复完毕。
输入表重建工具(ImportREC)相关下载
- 查看详情超级巡警自动脱壳机简体2024-03-04
- 查看详情ASPack UnPacker(脱壳)简体2024-02-16
- 查看详情Exe Stealth简体2023-10-31
- 查看详情File Format Identifier(自动查壳脱壳)简体2023-09-24
- 查看详情MEW脱壳【UnMEW】简体2023-09-09
- 查看详情 超级巡警自动脱壳机 简体 2024-03-04
- 查看详情 ASPack UnPacker(脱壳) 简体 2024-02-16
- 查看详情 Exe Stealth 2023-10-31
- 查看详情 File Format Identifier(自动查壳 简体 2023-09-24
- 查看详情 MEW脱壳【UnMEW】 简体 2023-09-09
- 查看详情 Spring Boot 简体 2024-04-20
- 查看详情 Android逆向助手 简体 2024-04-20
- 查看详情 数据比对工具 简体 2024-04-20