第九课手动确定IAT的地址与大小-脱壳基础知识入门(图)_安全中国

IAT是一块连续排列的数据，因此在数据窗口向上翻屏，直到出现00数据，寻找IAT起始地址：

然后向下翻屏，寻找IAT结束地址：

为了直观些，你也可以这样让数据窗口直接显示这些API函数，以确定IAT是否正确，在数据窗口点击鼠标右键：

调整显示格式后的数据窗口：

这样就直观了，IAT中每组数据指向一个API函数，各DLL之间是以000000分开的。

因此IAT范围：0x4062E4～0x406524 ，大小为0x406524-0x4062E4=0x240

如果IAT加密了，此时IAT中的地址不是指向系统DLL中的API函数了，可能指向外壳。这就十分有必要找到外壳处理IAT的代码了，前面己说过，外壳加载时，会模拟Windows加载器，向IAT里填充当前操作系统API函数的实际地址。所以，在IAT里设个内存写断点，就可中断到这段代码处。

上一页 1 2 3 下一页

第九课 手动确定IAT的地址与大小-脱壳基础知识入门(图)

第九课手动确定IAT的地址与大小-脱壳基础知识入门(图)