【已解决】x32dbg/x64dbg关于找到OEP后使用Scylla进行IAT修复遇到的问题
本帖最后由 mozhongzhou 于 2024-9-6 19:19 编辑# x32dbg/x64dbg关于找到OEP后使用Scylla进行IAT修复遇到的问题,和一些逆向学习的问题
## 环境
1.虚拟机win10;
2. 32dbg/x64dbg版本号2024/8/28
3. Scylla版本号0.9.8
## 背景
- 在学习**吾爱破解培训课**和**ximo脱壳基础教程**的过程中,使用x32dbg对示例软件进行脱壳
- **成功找到OEP**
- 对**示例.exe** dump后,得到**示例\_dump.exe**
- 此时用die、peid、exeinfo查**示例\_dump.exe**显示已脱壳,但是**无法**运行程序
- 接下来我准备**IAT修复**
## 问题
### 1、Use advanced IAT search?
开启与否会导致自动搜索的VA和Size不同,这是为何?不同的结果影响了get imports的结果,也对fix dump产生了影响。
### 2、IAT Autosearch?
我只会用**自动搜索**来获取VA和Size,请问如何手动来获取那两个值呢?如果有视频或者文字教程,能否给个链接,感激不尽!
### 3、修复IAT失败了?
- **排除OEP位置错误**
- 有时我用自动搜索获取了VA和Size后,get imports,发现有一些行是带有红叉的,正确应该是每一行带绿勾,不同软件都遇到过这种情况。
- 但奇怪的是有时我全部打回重来几遍,get imports得到的就全是绿勾了
- 很遗憾我不能随意复现出现红色x的情况,我很好奇出现这种情况的原因。
### 4、修复IAT成功了?
- 在遇到问题三中,部分行带有红叉,但绝大部分行都是绿勾的情况
- 我尝试手动删除表中带有红叉的行,看上去有点**”掩耳盗铃“?**
- 再进行fix dump,结果得到的exe可以正常运行,似乎是修复成功了,但这真的对吗?
## 写在最后
1. 我仅对cpp、数据结构、计组、操作系统和计网有浅薄的了解,对汇编的理解停留在计组,没有钻研过。
2. 目前我的学习思路是看吾爱破解多年前出的教程录播和ximo脱壳基础教学,然后手操几遍。学到现在有挺多疑问的,也经常遇到一些细枝末节的问题。
3. 我希望把过程中可能遇到的问题全部弄懂并记录下来,但这似乎延缓了我学习的进度,两天时间我还停留在第一课,ximo的脱壳教程我也只了解到了屈指可数的5、6个壳。
4. 有没有更好更高效的学习方法呢?目前我所学习到的脱壳技巧会否过时了呢?大概了解到哪一步才算正式叩开逆向的大门呢?
## 感谢您的阅读和帮助! 可以先学一下网上的滴水的教程,把逆向基础学习一下 建议深入了解pe文件结构,了解iat数据结构 这个没有一定的专业知识,还真的看不明白。 cndml 发表于 2024-9-2 16:38
建议深入了解pe文件结构,了解iat数据结构
谢谢你的建议
页:
[1]