ImportREC能否只导出所有无效信息
如图:https://im.gurl.eu.org/file/6bc4905c24c29f7440180.png
显示无效时,能否把所有无效的都复制出来,软件貌似没这个功能吧,比方说里面有二三十个是无效的,我想只把全部无效
的导出到文本里。能否实现?在ImportREC里看着很难受。而如果是导出全部,有效的存在文本里面,没多大用,因为已经有效了,
还要删除掉有效的,才剩下无效的,也很麻烦。 朱朱同学注册时间也不短了,怎么还像个新手呢,你这个问题提的没多大意义。关于importrec反查输入表函数,软件是不太完善的,一个最大的问题是,它只支持微软标准的输入表格式,如果iat地址,不同dll之间结束标志超过2个,也就是两组以上的0,它就认为iat表结束了,微软也是这么规定,具体可以查一下isdn。所以对于iat的正确长度,要靠人眼观察来确定。函数显示无效,只要模块不显示无效可以无视它的分析。一个常见的无效是在64位系统下,如果引用了user32的DefWindowProcA,它反查的函数是NtdllDefWindowProc_A,这时会导致user32模块找不到,也不能写入输入表。这种情况只要保存树文件,然后收工编辑修改一下模块名跟函数名,然后载入树文件,转储就可以了!而用scylla就不存在这个问题,scylla的不足是不支持指定地址写入输入表,并且还很贴心的自动把文件大小给优化了!我的做法是自己写个脚本,用scylla把输入表写入最后一个区段后,然后用脚本把输入表搬家到原输入表的位置!下面是我自己写的64位的搬家脚本,32位自己修改!
//导入表搬家
var ori_idata
var new_idata
var new_dll
var new_dll_end
mov ori_idata,18002e000
mov new_idata,180025560
mov new_dll,1800257d0
mov new_dll_end,1800257f0
xor rdx,rdx
mov edx,new_idata
sub edx,ori_idata
///////////////////////
//修改原始输入表
///////////////////////
mov rdi,new_idata
first:
mov rax,8:
and rax,ff000000ffffffff
cmp rax,0
je loop1
cmp rax,0ffffffff
jg loop1
add eax,edx
mov 4:,eax
loop1:
add rdi,8
cmp rdi,new_dll
jl first
///////////////////
//修改dll名称
//////////////////
mov rdi,new_dll
second:
mov eax,4:
cmp eax,0
je loop2
add eax,edx
mov 4:,eax
////////
mov eax,4:
cmp eax,0
je loop2
add eax,edx
mov 4:,eax
loop2:
add rdi,014
cmp rdi,new_dll_end
jl second
/////////////////
exit 得把背景和上下文说清楚啊 sai609 发表于 2023-11-28 07:43
得把背景和上下文说清楚啊
不懂不要瞎回复,刷什么存在感,你这是变相灌水。 朱朱你堕落了 发表于 2023-11-28 07:49
不懂不要瞎回复,刷什么存在感,你这是变相灌水。
楼主只是说出异常问题,没有提到用啥软件导致的或者当时做的是啥操作,
既然提问就应该把事件上下文完整说齐全。。。。咱们提醒ta补充,方便后续大佬解答
so这哪里属于刷存在感?这哪里属于变相灌水? 用窗口赋值工具 可以抓出来 这玩意好像没法批量,当时修复导入表都是一个个点删除 SysTreeView321
用AutoHotkey写个脚本捕获该控件就差不多了吧。
又换了个工具,的确可以抓到,但有用的,用无的都在,需要自己处理。{:301_1009:} wanttobeno 发表于 2023-11-28 09:13
用窗口赋值工具 可以抓出来
求推荐个好用的 冥界3大法王 发表于 2023-11-28 09:44
SysTreeView321
用AutoHotkey写个脚本捕获该控件就差不多了吧。
SysTreeView321,发下。
页:
[1]
2