1.目標檔案已完全被dump,另存為乙個檔案
2.目標檔案必須正在執行中
3.事先找到目標程式真正的入口(oep)或iat的偏移與大小
以加殼rebpe.exe為例,首先od載入:
除錯到00413001,設定硬體斷點hr esp
f9斷下來,單步調到oep處:
這時啟用loadpe工具,找到對應的程序,右鍵先執行"correct imagesize」,再執行"dump full",儲存為dumped.exe
執行importrec,選擇rebpe.exe程序:
在右下角oep處埴上正確的oep的rva值,這裡填1130,預設時,importrec重建輸入表時會同時用此值修正入口點,同時提供正確的oep有助於分析iat的準確位置,單擊"iat autosearch"按鈕,讓其自動檢測iat偏移和大小,如果出現:
表示輸入的oep發揮了作用,如果沒有,則要手動填入iat的rva和大小,
單擊"get imports"按鈕,讓其分析iat結構得到基本資訊,如下:
本例中所有api都被正確識別了,顯示valid:yes,如果不能識別,就會顯示成valid:no,單擊"show invalid"按鈕分析所有的無效資訊,
在imported functions found這一視窗中單擊右鍵,選擇thrace level1(disasm),再單擊"show invalid
最後一步,把前面提出的iat部分都加上dump.exe,選擇"add new section",單擊fix dump,選擇剛抓取的dump.exe,此時會生成乙個叫dump_exe的檔案,而輸入表會放在新增的.mackt區塊上,此時iat修復完成
Oracle重建表空間
一為了開啟資料庫,首先想到的是將壞的日誌清除掉,但是 sql alter database clear unarchived logfile group 3 sql alter database clear unarchived logfile group 3 unrecoverable dataf...
重建Undo表空間
檢視各表空間名稱 select name from v tablespace 檢視某個表空間資訊 select file name,bytes 1024 1024 from dba data files where tablespace name like undotbs1 檢視回滾段的使用情況,哪...
activiti刪除表,重建
刪除一下表 drop table act evt log drop table act ge property drop table act hi actinst drop table act hi attachment drop table act hi comment drop table ac...