dll 重建输入表
dll 如何重建输入表::11:: ::11:: ::11:: ::11:: ::08:: ImpREC重建输入表::08:: ImportREC能很好地支持DLL的输入表的重建,首先,在Options里将“Use PE Header From Disk”默认的选项去除选中。这是因为ImportREC需要获得基址计算RVA值,DLL加载的地址不是默认基址时,从磁盘取默认基址计算会导致结果错误。 在ImportREC下拉列表框中选择DLL装载器的进程,此处为loaddll.exe进程.单击“Pick DLL”按钮,在DLL进程列表中选择EdrLib.dll进程.在OEP处,填上DLL入口的RVA值1240h,单击“IAT AutoSearch”按钮获取IAT地址。如果失败,必须手工判断DLL的IAT位置和大小,其RVA为7000h,Size为E8h.单击“Get Imports”按钮,让其分析IAT结构重建输入表。勾选“Add new section”,单击“Fix Dump”按钮,并选择刚抓取的映像文件dumped.dll,它将创建一个dumped_.dll文件 给楼上的加金币~~~啊~~~~ 学习了!!!::05:: ::05:: 三楼的说的很详细了,基本上就是这个办法! 一个简单方法:OD打开DLL,进程选择LOADPE.exe
选取DLL
找到你要重建的
下面继续.... 我们论坛有好多高手呀
谢谢 了
页:
[1]
