随便从程序找一个API调用，如：
003B10FD     FF15 20403B00       call dword ptr ds:[3B4020]; kernel32.GetVersion
在转存中跟随3B4020，上下看到许多函数地址，很明显的可以找到IAT开始和结束的地址：
            

代码:--------------------------------------------------------------------------------
003B3FF0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
003B4000  1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77  .Q.w.:.w>..w...w
            
003B40B0  CE 7C E5 77 05 74 E5 77 F9 81 E5 77 EB 41 E4 77  .|.w.t.w...w.A.w
003B40C0  66 C8 E5 77 3E 18 F6 77 00 00 00 00 00 00 00 00  f..w>..w........
--------------------------------------------------------------------------------

            
开始地址＝003B4000
结束地址＝003B40C9

请问你是怎么判断开始地址和结束地址的？
还有其他的方法得到吗？
谢谢

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！