IAT的加密的手动查找

核心提示： 0101C6CF|8B4D D4mov ecx,dword ptr ss:[ebp-2C] 0101C6D2|8908mov dword ptr ds:[eax],ecx 0101C6D48B55 F0mov edx,dword ptr ss:[ebp-10] [c/ode] 我们F8单步

0101C6CF　　|8B4D D4　　　　　　　　　　　　mov ecx,dword ptr ss:[ebp-2C]

0101C6D2　　|8908　　　　　　　　　　　　　　mov dword ptr ds:[eax],ecx

0101C6D4　　8B55 F0　　　　　　　　　　　　mov edx,dword ptr ss:[ebp-10]

[c/ode]

我们F8单步，看看IAT是如何加密成：

010010B0　　01021D46　　UnpackMe.01021D46

[code]

0101C6E1　　　　8B45 DC　　　　　　　　　　　　mov eax,dword ptr ss:[ebp-24]

0101C6E4　　　　50　　　　　　　　　　　　　　　　push eax

0101C6E5　　　　8B0D C07B0201　　　　　　mov ecx,dword ptr ds:[1027BC0]　　　　　　　　　　　　　　　　　　　　; UnpackMe.01027BC4

0101C6EB　　　　51　　　　　　　　　　　　　　　　push ecx

0101C6EC　　　　8B55 E0　　　　　　　　　　　　mov edx,dword ptr ss:[ebp-20]

0101C6EF　　　　52　　　　　　　　　　　　　　　　push edx

0101C6F0　　　　E8 9B070000　　　　　　　　call UnpackMe.0101CE90＝＝＝＝＝＝＝＝单步到此后，F7进入

0101C6F5　　　　83C4 0C　　　　　　　　　　　　add esp,0C

0101C6F8　　^ E9 3EFFFFFF　　　　　　　　jmp UnpackMe.0101C63B

F7进入后：

0101CED2　　　　8B45 08　　　　　　　　　　　　mov eax,dword ptr ss:[ebp+8]

0101CED5　　　　50　　　　　　　　　　　　　　　　push eax

0101CED6　　　　FF15 2C870201　　　　　　call dword ptr ds:[102872C]　　　　　　　　　　　　　　　　　　　　　　; kernel32.VirtualProtect