分析进程...
模块已载入: c:\windows\system32\ntdll.dll
模块已载入: c:\windows\system32\kernel32.dll
模块已载入: c:\windows\system32\user32.dll
模块已载入: c:\windows\system32\gdi32.dll
模块已载入: c:\windows\system32\imm32.dll
模块已载入: c:\windows\system32\advapi32.dll
模块已载入: c:\windows\system32\rpcrt4.dll
模块已载入: c:\windows\system32\lpk.dll
模块已载入: c:\windows\system32\usp10.dll
模块已载入: c:\windows\system32\msvcrt.dll
模块已载入: c:\sw6v4\bin\key.dll
模块已载入: c:\windows\system32\oleaut32.dll
模块已载入: c:\windows\system32\ole32.dll
模块已载入: c:\windows\system32\hid.dll
模块已载入: c:\windows\system32\setupapi.dll
模块已载入: c:\windows\system32\wintrust.dll
模块已载入: c:\windows\system32\crypt32.dll
模块已载入: c:\windows\system32\msasn1.dll
模块已载入: c:\windows\system32\imagehlp.dll
获取关联模块完成.
镜像基址:00400000 大小:00060000
->> 选择的模块: c:\windows\system32\ntdll.dll
镜像基址:7C920000 大小:00094000
->> 选择的模块: c:\sw6v4\bin\key.dll
镜像基址:00870000 大小:00044000
原始 IAT RVA 发现于: 00022D10 位于块 RVA: 00001000 大小:0002C000
IAT 读取成功.
rva:000271B0 来自模块:ntdll.dll 序号:0050 名称:RtlDeleteCriticalSection         
rva:000271B8 来自模块:ntdll.dll 序号:0089 名称:RtlEnterCriticalSection         
rva:000271F4 来自模块:ntdll.dll 序号:015F 名称:RtlGetLastWin32Error         
rva:00027244 来自模块:ntdll.dll 序号:01F2 名称:RtlAllocateHeap         
rva:00027248 来自模块:ntdll.dll 序号:0203 名称:RtlFreeHeap         
rva:00027258 来自模块:ntdll.dll 序号:021E 名称:RtlLeaveCriticalSection         
rva:00027278 来自模块:ntdll.dll 序号:02A4 名称:RtlUnwind         
rva:0002728C 来自模块:ntdll.dll 序号:0255 名称:RtlRestoreLastWin32Error         
---------------------------------------------------------------------------------------------------------------------------
当前输入表:
4 (十进制:4) 个有效模块 (已添加: +4 (十进制:+4))
57 (十进制:87) 个输入函数. (已添加: +57 (十进制:+87))
IAT 读取成功.
---------------------------------------------------------------------------------------------------------------------------
当前输入表:
4 (十进制:4) 个有效模块
57 (十进制:87) 个输入函数.

看他找到的模块有5个，实际有效的只有4个

自己解决吧！上传一个加壳的和一个脱壳的，如果有时间我可以试一下！

NTDLL模块没有，请大侠指点

这个是狗壳，无狗很难，兄弟能不能加我QQ512289638

脱壳时有没有重定位，有则是否修正基址了？

多谢老大，修正了的，如果不修正，在程序中应不可运行