关于ximo第四课的一点疑问

与谁共

第四课主要讲的脱fsg壳，具体我就不多说了，有一个地方感觉有点一头雾水，先附图。
   
这里讲到的是用ImportRE来修复IAT，我的疑问在IAT的大小，ximo老师说是280，而且说是从0425000往下找为空处（如上第一个图），可是我能看到为空的只有注释列，而且更奇怪的是，我的0425280处的数值和老师的还不一样，如下图。
这里可以看到数值有略微的不同，倒是下面的0425284处都是7FFFFFFF不知道这是不是巧合，还是说老师说的都是0指的是这个。
然而，即使指的是这个，IAT大小这个问题仍然存在。我在IAT大小出尝试了不同的数值（尝试过程中注意要清除输入列表再获取，获取完之后也要在显示无效数据中剪切掉），最后发现大小这个数值最小可以达到18，大于等于18的整数都可以实现正常脱壳，而一旦为17就不行了（原因可能是剪切的数据多了一条，我猜测是正常的数据放不下了），那么问题显而易见，究竟这个大小是18还是280,18也能正常脱壳为什么要认为280，甚至像视频中填的1000，岂不是产生过多的垃圾数据吗，还有就是如果是280，向下为0是怎么个为0？如果是18，又是怎么判断出来的，我试出18是用相当于数学中的二分法，一半一半试出来的。
以上是我一个初学者的愚见，希望审核的版主和路过的大大能够不吝赐教！大家有什么想法也可以在帖子下留言，谢谢吾爱的各位同道中人了

Hmily

与谁共 发表于 2018-5-24 11:31
的确有个剪切指针的动作，感觉主要还是确定好IAT的RVA，大小随便写个500或者1000都可以成功脱壳是吧，就 ...

大小是为了连续的IAT，然后一次性写好IAT的起始位置和大小获取用的，FSG这种比较特殊，不是连续的，所以你手动算好最大的也行，或者直接写个大点的值。

Hmily

你的调试环境是xp吗？

与谁共

Hmily 发表于 2018-5-24 10:20
你的调试环境是xp吗？

确定是虚拟机的xp，一开始有些记不清，但是xp里才有dump的文件，而win7的没有。但是我还是不放心，又在xp里修复了一遍，默认大小1C4即可修复，这个大小显然小于280啊，再试了下我昨天试出来的18，这个大小依然可以脱掉，求H大指教

Hmily

与谁共 发表于 2018-5-24 11:07
确定是虚拟机的xp，一开始有些记不清，但是xp里才有dump的文件，而win7的没有。但是我还是不放心，又在xp ...

fsg的iat中间有间隔，他应该是写个大的获取IAT，然后把无效的都删除吧？

与谁共

Hmily 发表于 2018-5-24 11:10
fsg的iat中间有间隔，他应该是写个大的获取IAT，然后把无效的都删除吧？

的确有个剪切指针的动作，感觉主要还是确定好IAT的RVA，大小随便写个500或者1000都可以成功脱壳是吧，就是这个大小并不怎么重要是吗，如果脱不出来就把这个数写大点？

与谁共

Hmily 发表于 2018-5-24 16:00
大小是为了连续的IAT，然后一次性写好IAT的起始位置和大小获取用的，FSG这种比较特殊，不是连续的，所以 ...

感谢H大的耐心指教，我现在基础比较差，手动算的方法还是看不大明白，可能刚开始了解比较吃力，先直接写个大点的值，也许以后就一下子明白了哈。再次感谢H大版主，总能用自己的时间无私地为吾爱里的新手们答疑解惑，鼓掌鼓掌

冥界3大法王

OEP   和     起始位置最为关键
后边的大小设上1个数值后，程序 自己会识别
之后可以用LordPE做减肥和优化