脱壳基础知识入门之手动确定IAT的地址与大小

核心提示：在第八课中讲到，点击ImportREC的“IATAutoSearch”按钮，脱壳基础知识入门之手动确定IAT的地址与大小，一般情况下ImportREC可以自动识别出IAT地址与大小，但如果不能自动识别，因此在数据窗口向上翻屏，直到出现00数据，就必须手动确定IAT地址与大小，然后将IAT的RVA

在第八课中讲到，点击ImportREC的“IATAutoSearch”按钮，一般情况下ImportREC可以自动识别出IAT地址与大小。但如果不能自动识别，就必须手动确定IAT地址与大小，然后将IAT的RVA与Size填进ImportREC，点击“GetImport”按钮就可得到输入表。

还是用上一节实例演示，用OD打开notepad.upx.exe，来到OEP处：

随便找一个API函数调用语句，如：

004010D3　　FF15E4634000　call　　[4063E4]　　　　　;kernel32.GetCommandLineA

其中地址4063E4就是IAT中的一部分，在数据窗口下命令：D4063E4，显示如下：

上图每一组数据都是指向一个API函数，如8D2C817C就是地址：7C812C8D，在OD里按Ctrl＋G，输入7C812C8D跳到这个地址就会发现是kernel32.GetCommandLineA函数：

IAT是一块连续排列的数据，因此在数据窗口向上翻屏，直到出现00数据，寻找IAT起始地址：

然后向下翻屏，寻找IAT结束地址：