①OEP

②填充IAT地址

③获取API地址

将地址填入脚本，进行测试

一般来说，地址随机又两种情况，一是随机基址，二是代码所在处是在申请的内存空间中，这种情况下解决方法就是找到代码基址，然后计算偏移，根据偏移在代码处下断点。
显然这个地方地址随机是因申请了内存导致的。

所以可以在VirtualAlloc处下断点，经过动态调试，发现在VirtualAlloc处断下的位置有很多出，最开始的一处栈回溯之后，代码地址是程序的模块中，推测这个地方申请的内存空间就是修复IAT代码的基地址，将之前的代码偏移，减去基址之后加上偏移，代码与之前一样，所以这个地方就是获取代码基址的地方。

分析后故修改脚本如下：

先获取以下基地址，在我们已知的填充IAT和获取API的地址下硬件执行断点

程序断下后，发现EAX中保存的是API地址

设置RUN跟踪，让EIP等于填充IAT的时候暂停，Ctrl+F7自动步入

查看RUN跟踪

重点关注7开头的数据，可能就是一个AIP地址

直到这个位置EDX中仍然保存的是API地址

解密思路：将API地址保存到某一个不用的寄存器中，然后在填充IAT的时候，把IAT直接填到EDX指向的内存中

修改代码：

下断点运行



DUMP文件并使用IMPREC修复

将手工操作转为脚本

将程序载入OD，先查看程序入口，发现有标准的push指令（pushad/pushfd），故采用ESP定律寻找OEP

使用ESP定律单步至470A036，就对ESP下断点，然后将程序运行起来

程序断在popfd下面，之后一般单步几下就可以到达OEP

到达OEP，根据经验可以看出这应该是VC6.0或者易语言程序，向下看可以发现第一个调用的函数CALL[XXX]中的函数地址被加密了，即IAT被加密了

而解密IAT的一般方法就是在IAT函数表上下硬件写入断点。
观察OEP附件的函数调用，根据经验来说，VC6.0程序调用的第一个函数应该是GetVersion，但现在能看到的是一个随机的函数地址，像是在申请内存地址

F7步入，继续单步跟踪275039地址中的代码，可以发现，原本IAT的函数地址被存放到了一个地址中，代码通过计算地址，获取到了GetVersion的函数地址，之后调用了GetVersion函数

程序的加密函数，GetVersion

生成加密的IAT函数大概步骤如下：
1.获取原始IAT函数地址，存放在一定位置
使用LoadLibraryA/W,GetProcAddress函数
2.申请空间，构造新的IAT函数
使用VirtualAlloc申请空间，拷贝代码
3.根据原始IAT函数地址计算加密值，隐藏真实地址
计算类似GetVersion函数中的代码中的x值
sub edx,x;
add ebc,x;
4.将新IAT函数地址写入IAT
填充地址到IAT

加密函数

根据推测以及对壳shell部分IAT的操作，我们大致可以推出，无论加密不加密IAT，壳其实都会填充IAT，只是加密IAT会填充加密之后的函数。
所以现在只要能找到加密前IAT函数地址以及填充IAT的地方，并且能够在填充IAT时将加密前的函数地址写入，那IAT就相当于完成了解密。
故我们接下来分析的两个关键点就是写入IAT的地方和加密前IAT函数地址出现的地方，对这两个关键点进行破解和解密即可。

综上所诉，下面就从写入IAT的地方开始分析。
首先，在原始OEP处，GetVersion函数的IAT处下写入断点，重新运行程序。

程序断下，找到了填充IAT的位置

一般来说，写入IAT的地方应该是一个循环，在这个循环中应该包括加载模块、获取函数地址等操作。
所以我们可以在LoadLiibraryA/W和GetProcAddress两个函数上下软件断点，在写入IAT处下一行代码下硬件执行断点。
注：壳中的代码一般都是解压、解密出来的，一般地址不可靠

继续单步跟踪分析，发现代码计算出了一个地址，从这个地址获取了一个4字节的数，且没有规律，一般来说，这种值就是hash值了。

继续单步跟踪分析，发现其获取了Kernel32模块基地址

继续单步跟踪分析，访问了数据目录表

继续单步跟踪分析，又发现获取了导出函数字符串，结合上下文分析，推测代码是在获取导出函数字符串，求字符串的hash值，再与刚才获取的hash值进行对比。

继续跟踪发现程序加载了函数字符串的每一个字节，并且进行了计算

程序求函数字符串的hash函数

当计算完hash值后，会进行比较

直接在1A28的位置下断点，运行至此，即hash相等时情况

继续单步跟踪分析，找到了获取函数地址的地方

继续单步跟踪分析，发现函数地址被处理，使用memcpy拷贝出了一段代码，函数地址被写入到了代码中。而新的函数地址就是memcpy拷贝的首地址，这个地址被写入到了IAT中。

至此，我们已经知道程序在写入一个IAT函数地址时的操作过程，概括为以下步骤。
1.获取预先计算好的hash值
2.循环获取当前正在获取的模块中的导出函数名称，计算hash值，与预存的比较，如果失败继续循环获取
3.如果正确，获取导出函数的地址
4.拷贝预存的代码到缓冲区，将导出函数地址写入到缓冲区中
5.将缓冲区首地址写入IAT处，完成填充IAT的操作

如何解密IAT？此处从函数地址入手，如果当我们获取了原始函数地址，且在写入IAT时，寄存器中还保存的是原始函数地址，那解密IAT就会变得很容易完成。如果代码是线性执行，我们只需改一下跳转应该就可以完成了，但是现在代码混淆度比较高，比较难找到规律，虽然说只要足够耐心，更改跳转应该可以实现，仔细跟踪代码，可以发现其实函数地址最初保存在EAX中，而后保存在EDX中，之后EDX被修改为IAT地址，EAX修改为加密的地址，在这个过程中，只要我们能做到EAX最后是函数地址即可。

经过分析，修改两处代码即可。
第一处代码：

这里的修改是为了将函数地址保存到EBX中，因为EBX看起来没有实际使用用处

第二处代码：

这里的修改为了将函数地址保存到EAX中，因为最后填充IAT的代码使用的是EAX


这里也可以改为脚本，与上文方法3类似，更改地址与部分代码即可

尝试直接修改壳代码
8D642404895401FC
在内存窗口中搜索,定位到地址

计算另一个地址
地址=0047BB70-(002214DC-00220895)

（对0047BB70 和0047AF29 两个地址下硬件执行断点）
修改为

同样可脚本。。。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！