到达这个位置后看转存
Ctrl+G:[ebp+539]

或者到达003B71EB后看ESI的值

虽然不懂。但还是找到这个00006000了

谢谢回复！

下面这行：

随便从程序找一个API调用，如：
003B10FD     FF15 20403B00       call dword ptr ds:[3B4020]; kernel32.GetVersion
在转存中跟随3B4020，上下看到许多函数地址，很明显的可以找到IAT开始和结束的地址：
            

代码:--------------------------------------------------------------------------------
003B3FF0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
003B4000  1D 51 C4 77 1C 3A C4 77 3E E7 C4 77 CC D2 C4 77  .Q.w.:.w>..w...w
            
003B40B0  CE 7C E5 77 05 74 E5 77 F9 81 E5 77 EB 41 E4 77  .|.w.t.w...w.A.w
003B40C0  66 C8 E5 77 3E 18 F6 77 00 00 00 00 00 00 00 00  f..w>..w........
--------------------------------------------------------------------------------

            
开始地址＝003B4000
结束地址＝003B40C9

我找不到这样的API调用？或者call dword ptr ds:[3B4020]; kernel32.GetVersion这个模样的？

本想照猫画虎脱个壳壳。太难了
请大家再给详细讲解一下。。谢谢

进入OEP下面的CALL看看

FLY版主：

  在你的样品DLL里面找到了。可在我要脱的DLL里面却找不到？
还有什么简单的办法能找到IAT开始和结束的地址吗？

   就差这一点就要脱掉我的第一个壳壳了！

最初由 金熊猫 发布
FLY版主：

在你的样品DLL里面找到了。可在我要脱的DLL里面却找不到？
还有什么简单的办法能找到IAT开始和结束的地址吗？

........

ASPack没有加密输入表，可以直接找到IAT RVA，这样就不需要用ImportREC修复
具体看《加密与解密2》里的操作

本来想走捷径脱掉这个壳就行啦。现在看来还得深入学习，苦苦

谢谢FLY版主热心帮助！

学习中。