IAT的加密的手动查找

核心提示： 7C809A695Dpop ebp 7C809A6AC2 1000retn 10＝＝＝＝＝＝＝＝＝＝＝在此F2下断 F9运行，在7次中断后，IAT的加密的手动查找(2)，取消断点，F7进入后来到： 01015F2AA3 F8850201mov dword ptr ds:[10285F8],

7C809A69　　　　5D　　　　　　　　　　　　　　　　pop ebp

7C809A6A　　　　C2 1000　　　　　　　　　　　　retn 10＝＝＝＝＝＝＝＝＝＝＝在此F2下断

F9运行，在7次中断后，取消断点，F7进入后来到：

01015F2A　　　　A3 F8850201　　　　　　　　mov dword ptr ds:[10285F8],eax

01015F2F　　　　8B15 F4850201　　　　　　mov edx,dword ptr ds:[10285F4]

01015F35　　　　C702 0D661900　　　　　　mov dword ptr ds:[edx],19660D

01015F3B　　　　A1 F8850201　　　　　　　　mov eax,dword ptr ds:[10285F8]

01015F40　　　　C700 5FF36E3C　　　　　　mov dword ptr ds:[eax],3C6EF35F

01015F46　　　　C745 EC 00000000　　mov dword ptr ss:[ebp-14],0

01015F4D　　　　C745 FC 00000000　　mov dword ptr ss:[ebp-4],0

01015F54　　　　68 00002E00　　　　　　　　push 2E0000

01015F59　　　　E8 40FCFFFF　　　　　　　　call UnpackMe.01015B9E

再次Ctrl+G来到：LoadLibraryA，在段尾下断：

7C801D9C　　　　FF75 08　　　　　　　　　　　　push dword ptr ss:[ebp+8]

7C801D9F　　　　E8 ABFFFFFF　　　　　　　　call kernel32.LoadLibraryExA

7C801DA4　　　　5E　　　　　　　　　　　　　　　　pop esi

7C801DA5　　　　5B　　　　　　　　　　　　　　　　pop ebx

7C801DA6　　　　5D　　　　　　　　　　　　　　　　pop ebp

7C801DA7　　　　C2 0400　　　　　　　　　　　　retn 4======================在此F2下断

中断后，取消断点返回到：