前面講了如何尋找OEP和脫殼，有的時候，Dump出來的時候不能正常運行，是因為還有一個輸入表沒有進行處理，一些加密殼會在IAT加密上面大做文章，用HOOK - API的外殼地址來代替真是的IAT的地址，讓脫殼者無法正確的還原程序的原始IAT，使得程序不能被破解，所以我們處理這些被加密IAT的地址 ...

一、工具及殼介紹 使用工具：Ollydbg，PEID，ImportREC，LoadPE，OllySubScript 未知IAT加密殼： 二、初步脫殼 嘗試用ESP定律。 疑似OEP，VC6.0特征 ...

一、工具及殼介紹 使用工具：Ollydbg，PEID，ImportREC，LoadPE，IDA，Universal Import Fixer，OllySubScript 此篇是加密殼的第二篇，更詳細的步驟和思考，請查看第一篇：手工脫殼之 未知加密殼 【IAT加密+混淆+花指令 ...

脫殼后的修復 IAT修復 IAT 導入地址表（IAT）:Import Address Table 由於導入函數就是被程序調用但其執行代碼又不在程序中的函數，這些函數的代碼位於一個或者多個DLL 中.當PE 文件被裝入內存的時候，Windows 裝載器才將DLL 裝入，並將調用導入函數的指令 ...

現在我們已經了解了IAT的的工作原理，現在我們來一起學習手動修復IAT，一方面是深入了解運行過程一方面是為了避免遇到有些阻礙自動修復IAT的殼時不知所措。 首先我們用ESP定律找到加了UPX殼后的OEP，現在我們處於OEP處,原程序區段已經解密完畢,我們現在可以進行dump ...

上一次做完代碼段加密后，又接觸到了新的加密方式：IAT加密 IAT加密是通過隱藏程序的導入表信息，以達到增加分析程序的難度。因為沒有導入表，就無法單純的從靜態狀態下分析調用了什么函數，動態調試時，也無法直接從調用處判斷出調用的函數。從而增加了程序分析的難度。 思路如下： 1.把IAT ...

測試環境為: 安卓2.3 IDA6.6 下面看具體操作步驟： 具體怎樣用IDA動態調試我就不多說了,網上己經有很多文章了,下面直接進入正題。 1.准備好調式環境后 用IDA附加進程。 ...

手工修復導入表結構 實現手工修復導入表結構 1.首先需要找到加殼后程序的導入表以及導入了那些函數，使用PETools工具解析導入表結構，如下。 2.發現目錄FOA地址為0x00000800的位置，長度是0x000000A8定位過去看看，程序中只保留了一個LoadLibraryA ...