版权声明:墨痕诉清风 https://blog.csdn.net/u012206617/article/details/88352002
OD自动分析MessageBox,call 004011EA,他是怎么分析知道函数MessageBox
打开PE头文件,INT
我们要重点关注的字段一个是ImageBase基址,一个是Import Table address导入表地址,这里导入表的地址是基地址+偏移地址
在代码区搜索导入表地址
分析完如下图
扫描二维码关注公众号,回复:
5510999 查看本文章
查找这两个偏移地址就可以看到dll和函数的地址
再次查找导入表结构体的第5个成员(结构体中重要的就是第1个结构体和第5个结构体),IAT
我们也以看到该函数在动态模式下显示的地址
最后说一下壳,防止输入表还原,只要强化壳自身的保护功能,防止找到地址,对IAT进行保护。
所以我们脱壳后要重建输入表,因为有可能源输入表中函数被hook了,在壳中欺骗了我们。