在加壳之后,单步几下,就能看到调用一些系统api,这些地址很可能就是填充iat,edi右键跟随一下,大致就能找到填充iat的地址,这是应该做的事就是,看iat是否有特殊的分隔字符,是不是正常的连续的

单步跟踪

image.png
image.png
image.png
image.png

另:如何快速找到原始入口点

方法1:

image.png
image.png

方法2:

image.png