如何获得跟IDA一样的API调用序列名称?

MIAIONE · 发表于 2024-2-6 17:05

像这种直接调用IAT中已经导入好的函数怎么获得他的名字?
我已经使用C# Iced 反汇编出来.text段了, 也找到Call Near了, 将其地址RvaToOffset (FOV) 后发现没有任何能与IAT对应上的地址
而 PeNet这个库给我返回的导入函数信息是 DLLName, FunctionName, Hint, IATOffset, 请问像这种直接call导入函数的怎么和前面的那个导入函数信息对应上?
主要是想提取PE文件的API调用执行序列, 通过OEP 获得类似 Kernel32.CreateFileA 等这种api名称, 然后按照控制流自动分析下去自动按照顺序获取序列, 先不考虑动态加载

MIAIONE · 发表于 2024-2-7 16:10

luxiaole 发表于 2024-2-7 09:51
看看PE文件结构图，是不是就能找到想要的东西了呢

IAT已经加上偏移量了, 这些call让我很疑惑的是反汇编出来的地址都是call的 .text段内部的EIP数, 没有超过.text段的, 而我这个显示IAT表在.text段后边,FOV = 90000多, .text最多不超过80000, 所以我才问为什么没有一个地址能对上的

luxiaole · 发表于 2024-2-7 09:51

看看PE文件结构图，是不是就能找到想要的东西了呢

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 如何获得跟IDA一样的API调用序列名称?

个人中心