吾爱破解培训第八课：短兵相接–深入浅出探讨脱壳细节（上）

调试器（反调试）

被脱壳的文件

OEP（偷OEP,藏OEP）

dump(.bss)

修复iat()

IAT （导入地址表）

Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数，这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候，Windows 装载器才将DLL 装入，并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接)，这操作就需要导入表完成.其中导入地址表就指示函数实际地址。

IAT重建

使用的工具有 LoadPE 和 ImportREC。

PE结构

PE简介

文章作者: kabeor

文章链接: https://kabeor.github.io/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E5%9F%B9%E8%AE%AD%E7%AC%AC%E5%85%AB%E8%AF%BE%EF%BC%9A%E7%9F%AD%E5%85%B5%E7%9B%B8%E6%8E%A5--%E6%B7%B1%E5%85%A5%E6%B5%85%E5%87%BA%E6%8E%A2%E8%AE%A8%E8%84%B1%E5%A3%B3%E7%BB%86%E8%8A%82%EF%BC%88%E4%B8%8A%EF%BC%89/

逆向脱壳