IAT的加密的手动查找

核心提示： 0102155568 F0550201push UnpackMe.010255F0; ASCII "oleaut32.dll" 0102155A6A 02push 2 0102155C68 A8830201push UnpackMe.010283A8 01021561E

01021555　　　　68 F0550201　　　　　　　　push UnpackMe.010255F0　　　　　　　　　　　　　　　　　　　　　　　　　　　　; ASCII "oleaut32.dll"

0102155A　　　　6A 02　　　　　　　　　　　　　　push 2

0102155C　　　　68 A8830201　　　　　　　　push UnpackMe.010283A8

01021561　　　　E8 13000000　　　　　　　　call UnpackMe.01021579

01021566　　　　83C4 0C　　　　　　　　　　　　add esp,0C

01021569　　　　68 AC550201　　　　　　　　push UnpackMe.010255AC　　　　　　　　　　　　　　　　　　　　　　　　　　　　; ASCII "kernel32.dll"

0102156E　　　　FF15 98860201　　　　　　call dword ptr ds:[1028698]　　　　　　　　　　　　　　　　　　　　　　; kernel32.GetModuleHandleA

01021574　　　　8945 FC　　　　　　　　　　　　mov dword ptr ss:[ebp-4],eax

01021577　　　　C9　　　　　　　　　　　　　　　　leave

01021578　　　　C3　　　　　　　　　　　　　　　　retn＝＝＝＝＝＝＝＝＝＝＝＝＝在此继续F2下断

F9运行中断后，取消断点，F7进入：

0101C797　　　　E8 EA7BFFFF　　　　　　　　call UnpackMe.01014386

0101C79C　　　　A1 04860201　　　　　　　　mov eax,dword ptr ds:[1028604]

0101C7A1　　　　8B48 04　　　　　　　　　　　　mov ecx,dword ptr ds:[eax+4]

0101C7A4　　　　894D EC　　　　　　　　　　　　mov dword ptr ss:[ebp-14],ecx

找段尾：

0101C923　　/74 0E　　　　　　　　　　　　　　je short UnpackMe.0101C933