前面讲了如何寻找OEP和脱壳，有的时候，Dump出来的时候不能正常运行，是因为还有一个输入表没有进行处理，一些加密壳会在IAT加密上面大做文章，用HOOK - API的外壳地址来代替真是的IAT的地址，让脱壳者无法正确的还原程序的原始IAT，使得程序不能被破解，所以我们处理这些被加密IAT的地址 ...

一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，OllySubScript 未知IAT加密壳： 二、初步脱壳 尝试用ESP定律。 疑似OEP，VC6.0特征 ...

一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，IDA，Universal Import Fixer，OllySubScript 此篇是加密壳的第二篇，更详细的步骤和思考，请查看第一篇：手工脱壳之 未知加密壳 【IAT加密+混淆+花指令 ...

脱壳后的修复 IAT修复 IAT 导入地址表（IAT）:Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数，这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候，Windows 装载器才将DLL 装入，并将调用导入函数的指令 ...

现在我们已经了解了IAT的的工作原理，现在我们来一起学习手动修复IAT，一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP，现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump ...

上一次做完代码段加密后，又接触到了新的加密方式：IAT加密 IAT加密是通过隐藏程序的导入表信息，以达到增加分析程序的难度。因为没有导入表，就无法单纯的从静态状态下分析调用了什么函数，动态调试时，也无法直接从调用处判断出调用的函数。从而增加了程序分析的难度。 思路如下： 1.把IAT ...

测试环境为: 安卓2.3 IDA6.6 下面看具体操作步骤： 具体怎样用IDA动态调试我就不多说了,网上己经有很多文章了,下面直接进入正题。 1.准备好调式环境后 用IDA附加进程。 ...

手工修复导入表结构 实现手工修复导入表结构 1.首先需要找到加壳后程序的导入表以及导入了那些函数，使用PETools工具解析导入表结构，如下。 2.发现目录FOA地址为0x00000800的位置，长度是0x000000A8定位过去看看，程序中只保留了一个LoadLibraryA ...