使用OllyDbg从零开始Cracking-33第三十三章-神马是IAT 如何修复.pdfVIP

第三十三章-神马是IAT,如何修复 在介绍如何修复IAT之前,我们首先来介绍 一下IAT的相关基本概念,本章的实验对象 依然是Cruehead的CrackMe。首先我们来 定位该程序的IAT位于何处,然后再来看看 对其加了UPX的壳后,IAT又位于何处。 什么是IAT: 我们知道每个API函数在对应的进程空间 中都有其相应的入口地址,例如:我们用OD 加载Cruehead的CrackMe,在命令栏中输入 ? MessageBoxA 大家可以看到在我的机器上,MessageBoxA 这个API函数的地址为77D504EA,如果大家 在 自己的机器上面定位到这个地址的话, 可能有部分人的机器上该地址对应的还是 MessageBoxA的入口地址,而另外一部分人 的机器上该地址对应的就不是MesageBoxA 的入口地址了,这取决于大家机器的操作 系统版本,以及打补丁的情况。众所周知, 操作系统动态库版本的更新,其包含的API 函数入口地址通常也会改变。 比如User32.dll 我们就拿Cruehead的CrackMe中的Message BoxA这个API函数来说吧,其入口地址为77 D504EA,在我的机器上运行的很好,那些跟 我操作系统版本以及User32.dll版本相同 的童鞋的机器上该程序运行可能也很正常 ,但是如果在操作系统版本或者User32.dl l的版本跟我的不同童鞋的机器上运行,可 能就会出错。 为了解决以上兼容问题,操作系统就必须 提供一些措施来确保该CrackMe可以在其 他版本的Windows操作系统,以及DLL版本 下也能正常运行。 这时IAT (Import Address Table:输入函 数地址表)就应运而生了。 大家不要觉得其名字很霸气,就会问是不 是很难?其实不然。接下来我们一起来探 讨一下如何在脱壳过程中定位IAT。 我们现在通过在反汇编窗口中单击鼠标右 键选择-Search for-All intermodular c alls来看看主模块中调用了哪些模块以及 API函数。 这里我们可以看到有几处调用了MessageB oxA，我们在第一个MessageBoxA调用处双 击鼠标左键。 反汇编窗口就会马上定位到该调用处,OD 提示窗口中显示其实际调用的是40143A处 的JMP.USER32.MessageBoxA,这里用尖括 号括起来了,说明这里是直接调用,而非间 接调用。 这里其实就是CALL 40143A,显示为CALL JMP.USER32.MessageBoxA大家可能会觉 得不太直观。这里我们打开Debugging op tions菜单项: Disasm标签页中的Show sysmbolic addre sses选项被勾选上了,如果我们去掉该对 勾,将不会显示函数地址。 我们可以看到右边的注释窗口中同样显示 了API函数的参数以及函数名称,比刚刚显 示符号地址看起来更直观,一眼就可以看 出是一个直接调用。 CALL 40143A 在Search for-All intermodular calls 窗口中显示如下: 我们可以看到这里有三处通过CALL 40143 A调用MessageBoxA,我们定位到40143A处 看看是什么。 这里我们可以看到是一个间接跳转。即 JMP [4031AC] 这里我们再次勾选上显示符号地址的选项 ,可以更加直观的看出其调用的API函数。 这里有意思的地方就来了,我们看到JMP [ 4031AC](4031AC这个内存单元中保存的数 值才是MessageBoxA真正的入口地址)。我 们还可以看到很多类似的间接JMP。 这就是为了解决各操作系统之间的兼容问 题而设计的,当程序需要调用某个API函数 的时候,都是通过一个间接跳转来调用的, 读取某个地址中保存的API函数地址,然后 调用之。我们现在在数据窗口中定位到40 31AC地址处,看看该内存单元中存放的是 什么。 这里我们可以看到,4031AC中保存的是77D 504EA,这一片区域包含了该程序调用的所 有API函数的入口地址,这块区域我们称之 为IAT (导入函数地址表),这里就是解决不 同版本操作系统间调用API兼容问题的关 键所在,该程序在不同版本操作系统上都 是调用间接跳转到IAT表中,在IAT中读取 到真正的API函数入口地址,然后调用之, 所以说只需要将不同系统中的API函数地 址填充到IAT中,这样就可以确保不同版本 系统调用的都是正确的API函数。 有些人可能会问,4031