修复IAT的奇淫技巧
在dump一些驱动样本的时候会遇到这样的情况。
这种是要修复导入表的,大多数解决办法就是给dump文件修复导入表,但是这种方式有点弊端。比如说面对的是一段shellcode代码的话就比较繁琐,所以并不适用。最佳解决办法就是把ntoskrnl.exe模块原封不动加载到ida。
首先,我们把驱动dump下来后,因为缺少ntoskenl.exe的内存,所以函数调用会变红。所以我们首先是要加载这个内存。
直接把这个模块给dump。
然后添加在ida里。
一定要注意这里,第一个是0,第二个是模块开始地址,然后点击ok。然后因为它是默认32位加载,我们需要到段区修改。
右键edit,然后这样选。
这里给他设置为64位。
最后一步!!!!
因为你只是加载了内存,但是他没有符号!接下来就是要下载这个nt对应的符号!然后加载。
就可以啦!
这个就是效果哦!!!!