importrec(輸入表（biǎo）重建工（gōng）具)

importrec是一款編程工具（jù），在輸入（rù）表重建方（fāng）麵有著（zhe）不錯的應用，輕鬆解決（jué）跨平台的問題，小編為您帶來詳細的使用（yòng）說明，歡迎到綠（lǜ）色資源網下載使用！

官方介紹

在運行Import REConstructor之前，必須滿足如下條件：

1） 目標文件（jiàn）己完全被Dump到另一文件；

2） 目（mù）標文件必須正在運行中；

3） 事先要找到真正的（de）入（rù）口點（OEP）；

4） 最好（hǎo）加載IceDump，這樣建立的輸入（rù）表較少存在跨平台（tái）的問題。

輸入表重建工具使用方（fāng）法

1.目標（biāo）文件已完全被（bèi）Dump，另存為一個文件

2.目標文件必須正在運行中

3.事先（xiān）找到目標程序真正的入口(OEP)或（huò）IAT的偏移與大小（xiǎo）

什麽是手動脫殼（ké）?

手動脫殼就是不借助自（zì）動脫殼（ké）工具，而是用動態調（diào）試（shì）工（gōng）具SOFTICE或TRW2000來脫殼。

手動脫殼的作用

1.保護程序不被非法修改和反編譯。

2.對程序專門進行壓縮（suō），以減小文件大小，方便傳播和儲存。

教程

以加殼RebPE.exe為例，首先OD加載：

調試到00413001，設置硬件斷點hr esp

F9斷下（xià）來，單步調到OEP處:

這時啟用Loadpe工具，找到對應的進程，右鍵先執行"correct ImageSize”，再執行"dump full",保存為dumped.exe

運行（háng）ImportREC，選擇RebPE.exe進程:

在右下角OEP處埴上正確的（de）OEP的RVA值，這裏填1130，默認時，ImportREC重建輸入表時（shí）會同時用此值修正（zhèng）入（rù）口點，同時提供正確的OEP有助於分析（xī）IAT的準確位置，單擊"IAT AutoSearch"按鈕，讓其自動檢測IAT偏移和大小，如（rú）果出現:

表示輸入的OEP發（fā）揮了作用，如果沒有，則要手動填入IAT的RVA和大（dà）小,