INT表
image.png
Data:雙字開(kāi)始,全0結(jié)束妓羊;
Value:代表每一個(gè)dll文件所要引入的函數(shù)的信息;
Data最高位為0精拟,表示通過(guò)函數(shù)名引入蝴簇,指向 IMPORT Hints/Names;為1時(shí)杯活,表示通過(guò)序號(hào)引入函數(shù);(實(shí)際上是8)
RVA中的2000對(duì)應(yīng)文件中的600熬词,2064對(duì)應(yīng)文件664旁钧,
ExitProces函數(shù)
將高位修改為1
第一個(gè)dll文件引入目錄表
2050指向650,文件名2064對(duì)應(yīng)664
修改為1
然后出現(xiàn)這個(gè)互拾,無(wú)法定位8092歪今,16進(jìn)制為2064,即高位為1后颜矿,將2064作為它的序號(hào)寄猩,通過(guò)這個(gè)序號(hào)到kernel32.dll去找ExitProces這個(gè)函數(shù),但是此時(shí)不存在這個(gè)函數(shù)骑疆,所以才會(huì)報(bào)錯(cuò)
報(bào)錯(cuò)信息
如果知道ExitProces在kernel32.dll真實(shí)的序號(hào)田篇,把高位覆蓋可以恢復(fù)
在C盤system32尋找kernel32.dll
用stud_PE分析
函數(shù)區(qū)段找到exitproces函數(shù)的序號(hào)183,轉(zhuǎn)為16進(jìn)制為B7
image.png
修改
image.png
此時(shí)還會(huì)彈出錯(cuò)誤箍铭,還需要修改
image.png
2038轉(zhuǎn)為16進(jìn)制為7F6泊柬,即如圖位置
image.png
需要在user32.dll函數(shù)尋找?
試過(guò)了一些方法坡疼,但目前還未解決彬呻,先放在這里ba
