首先感谢！浩哥！龟哥！二木哥！小路哥哥！黎叔！存哥！曾哥！荣神！醒哥！砍老板！震哥！2st师傅！枪手师傅！hook师傅！VF师傅！彭指导！等等大师傅们的教导！！！！

其实看了很多帖子，关于unicorn去搞vmp的事情，最开始来源于 大表哥的github项目 unicorn_pe，于是自己也研究了一下unicorn和capstone的东西感觉很好用！于是乎准备写一下，一起来学！呜呜呜，本人技术比较垃圾，写的可能大师傅们几乎都会，所以不喜勿喷，留情！

其实关于vmp去找OEP的这一步我觉得是很关键的，因为在最开始加完vmp后，可以发现对应的text段，data段都是空的

可以看到是没有数据的，vmp在运行后，会动态的解密，这样text段就会有数据了

一般我们写代码都会用到像编译器这种东西，用什么vs呀，易语言呀，vc++ 6.0呀 等等等的，他们这些东西编译出来的都会有一点框架，所以我们一般对相应的遇见的第一个api下段就可以找到入口点，一般的api也就是GetVersion，GetSystemTimeAsFileTime，如果下段后的栈回溯在text段内，那么我们继续回溯即可

可以看到相应的可以对上了，我们直接溯到call jmp的位置进行dump即可

我们先分析没有加壳的代码

可以发现call 为 FF 15 call (当然还有 FF 25) (mov reg,iat call reg / jmp reg)

这里以 FF 15 call 为例子，这里面都变成了 E8 call，因为要保持原来的6个字节的问题 所以一般 都是 push reg call xxxx / call xxxx ret

以第一个 push eax call sub_4FBE6B 为例子

可以看到上面的流程最后一个retn 又因为xchg交换了 eax和esp的内存，所以可以判定出 iat的地址有关系的几句汇编是

iat = [28153F+0E151]+4C084ACD

可以看到表示的没有问题

这里我使用的是unicorn来获取到对应的api，因为在恶意样本的操作的时候，一定会用到api做一些恶意的功能，也会对分析来说多了一点帮助

使用方法：

用x64dbg转到对应的段的内存布局进行文件dump

讲文件放在项目的目录下，以及将当前环境的reg的值填入（这里我延用了周壑老师的代码，进行了修改）

因为周壑老师说的是抛异常的形式，那么我就按照异常的形式来捕获iat，因为对于api的这些内存的位置，我是没有map到内存中的，所以遇到iat就会出现异常

因为我看了很多地方都是E8 call，而且在text段中 call的位置为vmp段，所以直接暴搜E8 call即可，把这些位置记录下来然后遍历即可，根据ldr以及pe的解析就可以搞出来iat啦！

效果：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课