本帖最后由 mozhongzhou 于 2024-9-6 19:19 编辑
x32dbg/x64dbg关于找到OEP后使用Scylla进行IAT修复遇到的问题,和一些逆向学习的问题
环境
- 虚拟机win10;
- 32dbg/x64dbg版本号2024/8/28
- Scylla版本号0.9.8
背景
- 在学习吾爱破解培训课和ximo脱壳基础教程的过程中,使用x32dbg对示例软件进行脱壳
- 成功找到OEP
- 对示例.exe dump后,得到示例_dump.exe
- 此时用die、peid、exeinfo查示例_dump.exe显示已脱壳,但是无法运行程序
- 接下来我准备IAT修复
问题
1、Use advanced IAT search?
开启与否会导致自动搜索的VA和Size不同,这是为何?不同的结果影响了get imports的结果,也对fix dump产生了影响。
2、IAT Autosearch?
我只会用自动搜索来获取VA和Size,请问如何手动来获取那两个值呢?如果有视频或者文字教程,能否给个链接,感激不尽!
3、修复IAT失败了?
- 排除OEP位置错误
- 有时我用自动搜索获取了VA和Size后,get imports,发现有一些行是带有红叉的,正确应该是每一行带绿勾,不同软件都遇到过这种情况。
- 但奇怪的是有时我全部打回重来几遍,get imports得到的就全是绿勾了
- 很遗憾我不能随意复现出现红色x的情况,我很好奇出现这种情况的原因。
4、修复IAT成功了?
- 在遇到问题三中,部分行带有红叉,但绝大部分行都是绿勾的情况
- 我尝试手动删除表中带有红叉的行,看上去有点”掩耳盗铃“?
- 再进行fix dump,结果得到的exe可以正常运行,似乎是修复成功了,但这真的对吗?
写在最后
- 我仅对cpp、数据结构、计组、操作系统和计网有浅薄的了解,对汇编的理解停留在计组,没有钻研过。
- 目前我的学习思路是看吾爱破解多年前出的教程录播和ximo脱壳基础教学,然后手操几遍。学到现在有挺多疑问的,也经常遇到一些细枝末节的问题。
- 我希望把过程中可能遇到的问题全部弄懂并记录下来,但这似乎延缓了我学习的进度,两天时间我还停留在第一课,ximo的脱壳教程我也只了解到了屈指可数的5、6个壳。
- 有没有更好更高效的学习方法呢?目前我所学习到的脱壳技巧会否过时了呢?大概了解到哪一步才算正式叩开逆向的大门呢?
感谢您的阅读和帮助! | 
发表于 2024-9-1 00:51
|
发表于 2024-9-2 17:08
