如何修复调用越界内存的解压二进制文件?

逆向工程 艾达 调试器 开箱 x64dbg
2021-07-09 06:02:21

我解压了一个用 PECompact v2.2 打包的二进制文件(根据 Detect It Easy)并成功重建了 IAT。二进制文件实际上确实运行了,但是当我在 IDA Pro 调试器中打开它时,它正在调用进程中不存在的内存,这会阻止程序继续执行并在 IDA 中显示错误(如下所示) . 我也尝试在 OllyDbg 中调试相同的程序,但 OllyDbg 似乎甚至没有解析解压版本的指令。我的问题是,什么可能导致这种情况?我解压文件错了吗?无法正确重建 IAT?这是变基问题吗?我怎样才能解决这个问题?

还应该注意的是,我尝试将偏移量应用于正确的图像库,但它仍然不存在:

这里可以看到调用; 这些调用指向不在此进程内的内存。

这是IDA Pro给出的错误信息 X32Dbg 还显示无效的 CE 调用

这表明文件中没有数据部分,但导入完好无损

0个回答
没有发现任何回复~
其它你可能感兴趣的问题
上一篇使用“加密”与存档文件格式作斗争 下一篇苹果脚本注入方法的POC