INT表
image.png
Data:双字开始,全0结束;
Value:代表每一个dll文件所要引入的函数的信息;
Data最高位为0,表示通过函数名引入,指向 IMPORT Hints/Names;为1时,表示通过序号引入函数;(实际上是8)
RVA中的2000对应文件中的600,2064对应文件664,
ExitProces函数
将高位修改为1
第一个dll文件引入目录表
2050指向650,文件名2064对应664
修改为1
然后出现这个,无法定位8092,16进制为2064,即高位为1后,将2064作为它的序号,通过这个序号到kernel32.dll去找ExitProces这个函数,但是此时不存在这个函数,所以才会报错
报错信息
如果知道ExitProces在kernel32.dll真实的序号,把高位覆盖可以恢复
在C盘system32寻找kernel32.dll
用stud_PE分析
函数区段找到exitproces函数的序号183,转为16进制为B7
image.png
修改
image.png
此时还会弹出错误,还需要修改
image.png
2038转为16进制为7F6,即如图位置
image.png
需要在user32.dll函数寻找?
试过了一些方法,但目前还未解决,先放在这里ba
网友评论