OD自動分析MessageBox，call 004011EA，他是怎么分析知道函數MessageBox?

打開PE頭文件，INT

我們要重點關注的字段一個是ImageBase基址，一個是Import Table address導入表地址，這里導入表的地址是基地址+偏移地址

在代碼區搜索導入表地址?

?

分析完如下圖

查找這兩個偏移地址就可以看到dll和函數的地址

再次查找導入表結構體的第5個成員（結構體中重要的就是第1個結構體和第5個結構體），IAT

我們也以看到該函數在動態模式下顯示的地址?

?

最后說一下殼，防止輸入表還原，只要強化殼自身的保護功能，防止找到地址，對IAT進行保護。

所以我們脫殼后要重建輸入表，因為有可能源輸入表中函數被hook了，在殼中欺騙了我們。

新人創作打卡挑戰賽發博客就能抽獎！定制產品紅包拿不停！

總結

以上是生活随笔為你收集整理的33. 脱壳篇-重建输入表的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。