IAT的加密的手动查找

同时记得在VirtualAlloc的段尾下断，F9运行，直到数据窗口出现：

010010B0　　7C810C6D　　kernel32.GetFileInformationByHandle，呵呵，这就是我们需要的了　　此时代码停在：　　

0101C6A6　　/EB 2C　　　　　　　　　　　　　　jmp short UnpackMe.0101C6D4＝＝＝＝＝＝停在此处

0101C6A8　　|8B55 F4　　　　　　　　　　　　mov edx,dword ptr ss:[ebp-C]

0101C6AB　　|8B02　　　　　　　　　　　　　　mov eax,dword ptr ds:[edx]

0101C6AD　　|25 FFFF0000　　　　　　　　and eax,0FFFF

0101C6B2　　|8945 D0　　　　　　　　　　　　mov dword ptr ss:[ebp-30],eax

0101C6B5　　|8B4D D0　　　　　　　　　　　　mov ecx,dword ptr ss:[ebp-30]

0101C6B8　　|51　　　　　　　　　　　　　　　　push ecx

0101C6B9　　|8B55 EC　　　　　　　　　　　　mov edx,dword ptr ss:[ebp-14]

0101C6BC　　|52　　　　　　　　　　　　　　　　push edx

0101C6BD　　|FF15 A8860201　　　　　　call dword ptr ds:[10286A8]

0101C6C3　　|8945 D4　　　　　　　　　　　　mov dword ptr ss:[ebp-2C],eax

0101C6C6　　|837D D4 00　　　　　　　　cmp dword ptr ss:[ebp-2C],0

0101C6CA　　|74 08　　　　　　　　　　　　　　je short UnpackMe.0101C6D4

0101C6CC　　|8B45 E0　　　　　　　　　　　　mov eax,dword ptr ss:[ebp-20]