为什么要脱壳

可以看到完整的导入模块以及导出的函数

开始脱壳

image.png
f9
image.png

image.png
image.png
image.png

image.png
发现getVersion ,确定这是vc6
有因为第一个call调用的函数不是模块地址,确定 iat已经被加密
image.png
删除esp断点
重开

image.png

image.png

image.png

666.gifrun跟踪是最慢的
使用跟踪步入
image.png

怎么获取IAT表的地址呢?
1.以7开头
2.存的是VA
image.png