importrec是一款編程工具，在輸入表重建方面有著不錯的應(yīng)用，輕松解決跨平臺的問題，小編為您帶來詳細的使用說明，歡迎到綠色資源網(wǎng)下載使用！

官方介紹

在運行Import REConstructor之前，必須滿足如下條件：

1） 目標(biāo)文件己完全被Dump到另一文件；

2） 目標(biāo)文件必須正在運行中；

3） 事先要找到真正的入口點（OEP）；

4） 最好加載IceDump，這樣建立的輸入表較少存在跨平臺的問題。

輸入表重建工具使用方法

1.目標(biāo)文件已完全被Dump，另存為一個文件

2.目標(biāo)文件必須正在運行中

3.事先找到目標(biāo)程序真正的入口(OEP)或IAT的偏移與大小

什么是手動脫殼?

手動脫殼就是不借助自動脫殼工具，而是用動態(tài)調(diào)試工具SOFTICE或TRW2000來脫殼。

手動脫殼的作用

1.保護程序不被非法修改和反編譯。

2.對程序?qū)ｉT進行壓縮，以減小文件大小，方便傳播和儲存。

教程

以加殼RebPE.exe為例，首先OD加載：

調(diào)試到00413001，設(shè)置硬件斷點hr esp

F9斷下來，單步調(diào)到OEP處:

這時啟用Loadpe工具，找到對應(yīng)的進程，右鍵先執(zhí)行"correct ImageSize”，再執(zhí)行"dump full",保存為dumped.exe

運行ImportREC，選擇RebPE.exe進程:

在右下角OEP處埴上正確的OEP的RVA值，這里填1130，默認(rèn)時，ImportREC重建輸入表時會同時用此值修正入口點，同時提供正確的OEP有助于分析IAT的準(zhǔn)確位置，單擊"IAT AutoSearch"按鈕，讓其自動檢測IAT偏移和大小，如果出現(xiàn):

表示輸入的OEP發(fā)揮了作用，如果沒有，則要手動填入IAT的RVA和大小,