importrec(輸入表重建工具)

importrec是一款編程工具，在輸入表重建方面有著不錯(cuò)的應(yīng)用，輕松解決跨平臺(tái)的問題，小編為您帶來(lái)詳細(xì)的使用說(shuō)明，歡迎到綠色資源網(wǎng)下載使用！

官方介紹

在運(yùn)行Import REConstructor之前，必須滿足如下條件：

1） 目標(biāo)文件己完全被Dump到另一文件；

2） 目標(biāo)文件必須正在運(yùn)行中；

3） 事先要找到真正的入口點(diǎn)（OEP）；

4） 最好加載IceDump，這樣建立的輸入表較少存在跨平臺(tái)的問題。

輸入表重建工具使用方法

1.目標(biāo)文件已完全被Dump，另存為一個(gè)文件

2.目標(biāo)文件必須正在運(yùn)行中

3.事先找到目標(biāo)程序真正的入口(OEP)或IAT的偏移與大小

什么是手動(dòng)脫殼?

手動(dòng)脫殼就是不借助自動(dòng)脫殼工具，而是用動(dòng)態(tài)調(diào)試工具SOFTICE或TRW2000來(lái)脫殼。

手動(dòng)脫殼的作用

1.保護(hù)程序不被非法修改和反編譯。

2.對(duì)程序?qū)ｉT進(jìn)行壓縮，以減小文件大小，方便傳播和儲(chǔ)存。

教程

以加殼RebPE.exe為例，首先OD加載：

調(diào)試到00413001，設(shè)置硬件斷點(diǎn)hr esp

F9斷下來(lái)，單步調(diào)到OEP處:

這時(shí)啟用Loadpe工具，找到對(duì)應(yīng)的進(jìn)程，右鍵先執(zhí)行"correct ImageSize”，再執(zhí)行"dump full",保存為dumped.exe

運(yùn)行ImportREC，選擇RebPE.exe進(jìn)程:

在右下角OEP處埴上正確的OEP的RVA值，這里填1130，默認(rèn)時(shí)，ImportREC重建輸入表時(shí)會(huì)同時(shí)用此值修正入口點(diǎn)，同時(shí)提供正確的OEP有助于分析IAT的準(zhǔn)確位置，單擊"IAT AutoSearch"按鈕，讓其自動(dòng)檢測(cè)IAT偏移和大小，如果出現(xiàn):

表示輸入的OEP發(fā)揮了作用，如果沒有，則要手動(dòng)填入IAT的RVA和大小,