importrec(输入表重建工具)

system

软件标签:  importrec   编程工具
importrec是一款编程工具，在输入表重建方面有着不错的应用，轻松解决跨平台的问题，小编为您带来详细的使用说明，欢迎到绿色资源网下载使用！
官方介绍
在运行import reconstructor之前，必须满足如下条件：

1） 目标文件己完全被dump到另一文件；

2） 目标文件必须正在运行中；

3） 事先要找到真正的入口点（oep）；

4） 最好加载icedump，这样建立的输入表较少存在跨平台的问题。
输入表重建工具使用方法
1.目标文件已完全被dump，另存为一个文件

2.目标文件必须正在运行中

3.事先找到目标程序真正的入口(oep)或iat的偏移与大小
什么是手动脱壳?
手动脱壳就是不借助自动脱壳工具，而是用动态调试工具softice或trw2000来脱壳。
手动脱壳的作用
1.保护程序不被非法修改和反编译。

2.对程序专门进行压缩，以减小文件大小，方便传播和储存。
教程
以加壳rebpe.exe为例，首先od加载：




调试到00413001，设置硬件断点hr esp

f9断下来，单步调到oep处:




这时启用loadpe工具，找到对应的进程，右键先执行"correct imagesize”，再执行"dump full",保存为dumped.exe




运行importrec，选择rebpe.exe进程:

在右下角oep处埴上正确的oep的rva值，这里填1130，默认时，importrec重建输入表时会同时用此值修正入口点，同时提供正确的oep有助于分析iat的准确位置，单击"iat autosearch"按钮，让其自动检测iat偏移和大小，如果出现:




表示输入的oep发挥了作用，如果没有，则要手动填入iat的rva和大小,

https://blog.51cto.com/u_16099270/9147646