ImportREC无法识别msvcr.dll里的API
最近在学脱壳,找到程序的OEP和IAT的位置后,使用论坛提供的ImportREC对其进行导入表构建,发现只能识别kernel32.dllntdll.dll等API,对msvcr90.dll和msvcr120.dll都识别不成功,这是咋回事咧ImportREC识别如下图
Ollydbg中显示的脱壳后IAT表如下图
可以看到ImportREC是正确解析了IAT格式,也拿到了msvcr.dllAPI的地址,但就是没识别出来
是我的操作有问题吗?还是ImportREC对这个识别有问题,诚心求教{:1_932:} 折腾半天找出原因了,太傻了,原来半天没人回我是因为我这问题傻到没人出错过吗{:301_977:}
原因是我把ImportREC的操作顺序搞错了,ImpREC附加的是dump.exe(没错我把它dump出来之后再运行了),由于dump.exe没有任何导入模块,除了kernel32.dll与ntdll.dll这种必须加载的
所以自然无法识别IAT中的地址指向什么函数,于是无法识别成功
正确的操作是ImpREC附加原进程,然后转储选择dump后的程序,一下就能成功了
亏我还下载了XP系统折腾了一下,不仔细看文档的后果呀{:301_1005:}
页:
[1]