一、题目背景
模拟 VMP 对 IAT(导入地址表)的保护机制。程序不再直接 CALL MessageBoxA,而是动态解析 API 地址并保存在堆栈或寄存器中,破坏 IDA 的交叉引用分析。
-
难度: ⭐⭐⭐(中级)
-
适合人群: 依赖静态查字符串和 IAT 导入表找切入点的学员。
-
训练重点:
-
对抗 IAT 消除。
-
动态获取函数地址(
LoadLibrary+GetProcAddress)的汇编识别。 -
寄存器间接调用(
CALL EAX)的动态跟踪。
-
二、程序说明
-
平台: Win32 x86
-
类型: 控制台程序
-
是否加壳: 无壳(手动 API 重定向)
-
目标: 找到验证逻辑,解出密码 (长度是4位 )。
- 正确提示为:[+] Success! API Redirection defeated.
三、解题提示
-
在 IDA 中你搜不到任何有用的系统调用线索。
-
当看到
CALL REG(如CALL EAX)时,要在 x32dbg 中观察寄存器的值,看看它指向哪个系统 DLL。 -
可以使用 x32dbg 的内存断点,监控 API 地址被写入的时刻。
下载
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容