IAT的加密的手动查找

核心提示：用PEid查壳显示为：Microsoft Visual C++ 6.0 但是用OD载入后，有提示： 确定后，IAT的加密的手动查找，OD停在： 0103B070 >55push ebp 0103B0718BECmov ebp,esp 0103B0736A FFpush -1 0103B07568 FC424000

用PEid查壳显示为：Microsoft Visual C++ 6.0

但是用OD载入后，有提示：

确定后，OD停在：

0103B070 >　　55　　　　　　　　　　　　　　　　push ebp

0103B071　　　　8BEC　　　　　　　　　　　　　　mov ebp,esp

0103B073　　　　6A FF　　　　　　　　　　　　　　push -1

0103B075　　　　68 FC424000　　　　　　　　push 4042FC

0103B07A　　　　68 04214000　　　　　　　　push 402104

0103B07F　　　　64:A1 00000000　　　　mov eax,dword ptr fs:[0]

0103B085　　　　50　　　　　　　　　　　　　　　　push eax

0103B086　　　　64:8925 00000000　　mov dword ptr fs:[0],esp

0103B08D　　　　83EC 58　　　　　　　　　　　　sub esp,58

0103B090　　　　53　　　　　　　　　　　　　　　　push ebx

0103B091　　　　56　　　　　　　　　　　　　　　　push esi

0103B092　　　　57　　　　　　　　　　　　　　　　push edi

0103B093　　　　8965 E8　　　　　　　　　　　　mov dword ptr ss:[ebp-18],esp

0103B096　　　　FF15 A0B00301　　　　　　call dword ptr ds:[103B0A0]　　　　　　　　　　　　　　　　　　　　　　; UnpackMe.0103B0A4

Ctrl+G来到：VirtualAlloc，在段尾下断：

7C809A64　　　　E8 09000000　　　　　　　　call kernel32.VirtualAllocEx