IAT的加密的手动查找

核心提示： 0101573ECCint3 0101573FCCint3 F7进入后： -- 0100739D6A 70push 70 0100739F68 98180001push UnpackMe.01001898 010073A4E8 BF010000call UnpackMe.01007568

0101573E　　　　CC　　　　　　　　　　　　　　　　int3

0101573F　　　　CC　　　　　　　　　　　　　　　　int3

F7进入后：

------------------------------------------------------------------

0100739D　　　　6A 70　　　　　　　　　　　　　　push 70

0100739F　　　　68 98180001　　　　　　　　push UnpackMe.01001898

010073A4　　　　E8 BF010000　　　　　　　　call UnpackMe.01007568

010073A9　　　　33DB　　　　　　　　　　　　　　xor ebx,ebx

010073AB　　　　53　　　　　　　　　　　　　　　　push ebx

010073AC　　　　8B3D CC100001　　　　　　mov edi,dword ptr ds:[10010CC]　　　　　　　　　　　　　　　　　　　　; UnpackMe.01022254

010073B2　　　　FFD7　　　　　　　　　　　　　　call edi

010073B4　　　　66:8138 4D5A　　　　　　cmp word ptr ds:[eax],5A4D

010073B9　　　　75 1F　　　　　　　　　　　　　　jnz short UnpackMe.010073DA

先不急着DUMP出来，我们用ImportREC修复一下看看IAT，如下图：

有许多无效的指针，等级一修复后，依然有几个，看来有IAT加密了，记录下几个无效的地址以及找到的OEP地址：

010010B0　　01021D46　　UnpackMe.01021D46

010010B4　　010227BB　　UnpackMe.010227BB

OEP: 0100739D======739D　　

重新载入程序后，我们在010010B0上下“断点－－硬件访问断点－－DWORD”，如下图：