修复导入表
当我们在内存中把代码和数据抓取下来之后,IAT其实是个函数地址,需要把它变成和INT一样。一般来说,一个程序在内存中加完壳之后,它的INT早已经不见了,只留了一个IAT的地址,这个时候还能还原导入表结构吗?答案是可以的
原因:将导入表的五个字段中的第一个字段中的Original Firstthunk设为0后,程序依然能够正常运行
你可以把所有导入表的那个Original Firstthunk全部填为0,但是程序依然能运行
着说明没有INT依然能修复,INT能修复,IAT自然也就能修复
为什么要加壳
加壳之后可以保护代码和数据
杀毒引擎怎么查杀加壳病毒
加完壳是扫不出来的,一般是上传到云端,有它自己的虚拟机环境,在机器的系统层进行hook,劫持到所有的函数,经过分析,生成报告发送给杀毒引擎,判断是否是病毒
若有收获,就点个赞吧
0 人点赞
