如何找到内层壳的iat起始地址？

bypasshwid · 发表于 2026-6-26 06:06

本帖最后由 bypasshwid 于 2026-6-26 06:07 编辑

我编译了个测试程序，加了两层壳，第一层是tmd，第二层是zp，zp只要使用ESP定律就能到期内层tmd壳的oep，
这时就可以使用scylla脱壳修复了，我的意思是，只要脱掉外层的zp就行了，留着tmd能运行即可。

但问题就在于在使用scylla时，如果使用自动搜索iat，是搜索不到的，需要手工查找内层tmd壳的iat开始地址和iat大小，
但是我不知道如何找，求助各位大佬。

链接：
https://yun.kuaiya.cn/r/HwBZDJ8wjietNBatUii

Sound · 发表于 2026-6-26 06:25

加2层不如一层不加，2个加一起都没一个强（原有的保护 PE的CRC，anti_dump import -etc....乱七八糟的是没法叠加的。）

bypasshwid · 发表于 2026-6-26 07:11

Sound 发表于 2026-6-26 06:25
加2层不如一层不加，2个加一起都没一个强（原有的保护 PE的CRC，anti_dump import -etc....乱七八糟的是没 ...

不是为了加强度，是想知道壳的iat的找法。

Sound · 发表于 2026-6-26 07:30

你什么壳的找法我说的话不明白吗？你只能加一个壳的IAT, 你加什么壳都是什么壳的IAT加密就这么简单。

xiaolong23330 · 发表于 2026-6-26 10:57

不知道理解的对不对。Sound老哥的意思是一个程序你只能针对当前最外层壳的IAT进行修复，无法复原至中间态,，也就是你无法在内存中同时保留“两层壳各自独立、完整的IAT”。

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 如何找到内层壳的iat起始地址？

免费评分

点评

免费评分

浏览过的版块