吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 841|回复: 15
收起左侧

[新手问题] ImportREC能否只导出所有无效信息

[复制链接]
朱朱你堕落了 发表于 2023-11-28 00:43
100吾爱币
如图:



显示无效时,能否把所有无效的都复制出来,软件貌似没这个功能吧,比方说里面有二三十个是无效的,我想只把全部无效
的导出到文本里。能否实现?在ImportREC里看着很难受。而如果是导出全部,有效的存在文本里面,没多大用,因为已经有效了,
还要删除掉有效的,才剩下无效的,也很麻烦。

最佳答案

查看完整内容

朱朱同学注册时间也不短了,怎么还像个新手呢,你这个问题提的没多大意义。关于importrec反查输入表函数,软件是不太完善的,一个最大的问题是,它只支持微软标准的输入表格式,如果iat地址,不同dll之间结束标志超过2个,也就是两组以上的0,它就认为iat表结束了,微软也是这么规定,具体可以查一下isdn。所以对于iat的正确长度,要靠人眼观察来确定。函数显示无效,只要模块不显示无效可以无视它的分析。一个常见的无效是在64位 ...

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

cndml 发表于 2023-11-28 00:43
朱朱同学注册时间也不短了,怎么还像个新手呢,你这个问题提的没多大意义。关于importrec反查输入表函数,软件是不太完善的,一个最大的问题是,它只支持微软标准的输入表格式,如果iat地址,不同dll之间结束标志超过2个,也就是两组以上的0,它就认为iat表结束了,微软也是这么规定,具体可以查一下isdn。所以对于iat的正确长度,要靠人眼观察来确定。函数显示无效,只要模块不显示无效可以无视它的分析。一个常见的无效是在64位系统下,如果引用了user32的DefWindowProcA,它反查的函数是NtdllDefWindowProc_A,这时会导致user32模块找不到,也不能写入输入表。这种情况只要保存树文件,然后收工编辑修改一下模块名跟函数名,然后载入树文件,转储就可以了!而用scylla就不存在这个问题,scylla的不足是不支持指定地址写入输入表,并且还很贴心的自动把文件大小给优化了!我的做法是自己写个脚本,用scylla把输入表写入最后一个区段后,然后用脚本把输入表搬家到原输入表的位置!下面是我自己写的64位的搬家脚本,32位自己修改!
[Asm] 纯文本查看 复制代码
//导入表搬家
var ori_idata
var new_idata
var new_dll
var new_dll_end



mov ori_idata,18002e000
mov new_idata,180025560
mov new_dll,1800257d0
mov new_dll_end,1800257f0
xor rdx,rdx
mov edx,new_idata
sub edx,ori_idata
///////////////////////
//修改原始输入表
///////////////////////
mov rdi,new_idata
first:
mov rax,8:[rdi]
and rax,ff000000ffffffff
cmp rax,0
je loop1
cmp rax,0ffffffff
jg loop1
add eax,edx
mov 4:[rdi],eax
loop1:
add rdi,8
cmp rdi,new_dll
jl first
///////////////////
//修改dll名称
//////////////////
mov rdi,new_dll
second:
mov eax,4:[rdi]
cmp eax,0
je loop2
add eax,edx
mov 4:[rdi],eax
////////
mov eax,4:[rdi+0c]
cmp eax,0
je loop2
add eax,edx
mov 4:[rdi+0c],eax
loop2:
add rdi,014
cmp rdi,new_dll_end
jl second
/////////////////
exit

点评

哈哈,大佬见笑了,我又不是专业搞这的,只有空闲无事时才瞎捣鼓捣鼓,水平自然菜得抠脚。  详情 回复 发表于 2023-12-3 20:00
sai609 发表于 2023-11-28 07:43
得把背景和上下文说清楚啊

点评

不懂不要瞎回复,刷什么存在感,你这是变相灌水。  详情 回复 发表于 2023-11-28 07:49
 楼主| 朱朱你堕落了 发表于 2023-11-28 07:49
sai609 发表于 2023-11-28 07:43
得把背景和上下文说清楚啊

不懂不要瞎回复,刷什么存在感,你这是变相灌水。
sai609 发表于 2023-11-28 08:06
朱朱你堕落了 发表于 2023-11-28 07:49
不懂不要瞎回复,刷什么存在感,你这是变相灌水。

楼主只是说出异常问题,没有提到用啥软件导致的或者当时做的是啥操作,
既然提问就应该把事件上下文完整说齐全。。。。咱们提醒ta补充,方便后续大佬解答
so这哪里属于刷存在感?这哪里属于变相灌水?

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
朱朱你堕落了 + 1 + 1 论坛有个版块叫水漫金山。在那里想怎么回复就怎么回复。

查看全部评分

wanttobeno 发表于 2023-11-28 09:13
用窗口赋值工具 可以抓出来

点评

求推荐个好用的  详情 回复 发表于 2023-11-28 09:50
woflant 发表于 2023-11-28 09:37
这玩意好像没法批量,当时修复导入表都是一个个点删除
冥界3大法王 发表于 2023-11-28 09:44
SysTreeView321
用AutoHotkey写个脚本捕获该控件就差不多了吧。


2023-11-28_094311.jpg
又换了个工具,的确可以抓到,但有用的,用无的都在,需要自己处理。

点评

SysTreeView321,发下。  详情 回复 发表于 2023-11-28 09:51
 楼主| 朱朱你堕落了 发表于 2023-11-28 09:50
wanttobeno 发表于 2023-11-28 09:13
用窗口赋值工具 可以抓出来

求推荐个好用的
 楼主| 朱朱你堕落了 发表于 2023-11-28 09:51
冥界3大法王 发表于 2023-11-28 09:44
SysTreeView321
用AutoHotkey写个脚本捕获该控件就差不多了吧。

SysTreeView321,发下。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 01:08

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表