UC知道重定位免杀的一个小问题!
来源:百度知道 编辑:UC知道 时间:2024/05/28 05:33:39
可以帮我解决的!我给所有分!!
0008CAF5: 8B85 907DFFFF MOV EAX, [DWORD SS:EBP+FFFF7D90]
0008CAFB: BA D8FA4800 MOV EDX, 48FAD8
0008CAF5: BA D8FA4800 MOV EDX, 48FAD8
0008CAFA: 8B85 907DFFFF MOV EAX, [DWORD SS:EBP+FFFF7D90]
a、记下重定位数据的原偏移地址与新偏移地址。
原偏移地址:8CAF9(RVA:8D6F9)
新偏移地址:8CAFE (RVA:8D6FE)
b、使用LoadPE找出以下几个值:
重定位表偏移地址、重定位数据原RVA
9BC00 8CAF9
c、根据以上值,计算出以下几个值:
8D000 (F9 36) 00 D0 08 00
最后F9 36 搜索不到哦!
0008CAF5: 8B85 907DFFFF MOV EAX, [DWORD SS:EBP+FFFF7D90]
0008CAFB: BA D8FA4800 MOV EDX, 48FAD8
0008CAF5: BA D8FA4800 MOV EDX, 48FAD8
0008CAFA: 8B85 907DFFFF MOV EAX, [DWORD SS:EBP+FFFF7D90]
a、记下重定位数据的原偏移地址与新偏移地址。
原偏移地址:8CAF9(RVA:8D6F9)
新偏移地址:8CAFE (RVA:8D6FE)
b、使用LoadPE找出以下几个值:
重定位表偏移地址、重定位数据原RVA
9BC00 8CAF9
c、根据以上值,计算出以下几个值:
8D000 (F9 36) 00 D0 08 00
最后F9 36 搜索不到哦!
F9 36 是RAV
不是偏移地址
你要在pe文件查看器中搜索的是文件地址
RAV只是在重建时用到
你定在什么位置了?
列出来先看看
你有几分?
你在说什么哦,我怎么听不懂哟 ?