一步一步教你加密解密技术——压缩与脱壳（4）

　　第五节 脱壳高级篇

　　1、认识Import表

　　著者: [yAtEs] [Jamesluton@hotmail.com]

　　译者：hying[CCG]

　　标题：PE输入表说明

　　有很多介绍PE文件的文章，但是我打算写一篇关于输入表的文章，因为它对于破解很有用。

　　我想解释它的最好的方法是举一个例子，你可以跟着我逐步深入，一步一步的思考，最后你将完全明白，我选择了一个我刚下载下来的小程序，它是用TASM编译的，有一个比较小的输入表，所以我想它应该是个不错的范例。

　　好了，让我们开始吧。首先我们得找到输入表，它的地址放在PE文件头偏移80处，所以我们用16进制编辑器打开我们的EXE文件，我们先得找到PE文件头的起始点，这很简单，因为它总是以PE,0,0开始，我们可以在偏移100处找到它。在一般的WIN32程序中文件头偏移被放在文件0X3C处，在那我们通常可看到00 01 00 00，由于数据存储时是低位在前，高位在后的，所以翻转过来实际就是00000100，就象前面我们说的。接下来我们就可以在PE文件中找到我们的输入表，100+80=180在偏移180处我们看到0030 0000，翻转一下，它其实应该是00003000，这说明输入表在内存3000处，我们必须把它转换成文件偏移。

　　一般来说，输入表总是在某个段的起始处，我们可以用PE编辑器来查看虚拟偏移，寻找3000并由此发现原始偏移。很简单的。打开我们看到：

　　-CODE 00001000 00001000 00000200 00000600

　　-DATA 00001000 00002000 00000200 00000800

　　.idata 00001000 00003000 00000200 00000A00

　　.reloc 00001000 00004000 00000200 00000C00

　　找一下，我们就发现.idata段的虚拟偏移是3000，原始偏移是A00，3000-A00=2600，我们要记住2600，以便以后转换其它的偏移。如果你没找到输入表的虚拟偏移，那么就找一下最接近的段。

　　来到偏移A00处，我们就看到被称为IMAGE_IMPORT_DESCRIPTORs（IID）的东东，它用5个字段表示每一个被调用DLL的信息，最后以Null结束。

　　**************************************************************************

　　(IID) IMAGE_IMPORT_DESCRIPTOR的结构包含如下5个字段：

　　OriginalFirstThunk, TimeDateStamp, ForwarderChain, Name, FirstThunk

　　OriginalFirstThunk

　　该字段是指向一32位以00结束的RVA偏移地址串，此地址串中每个地址描述一个输入函数，它在输入表中的顺序是不变的。

　　TimeDateStamp

　　一个32位的时间标志，有特殊的用处。

　　ForwarderChain

　　输入函数列表的32位索引。

　　Name

　　DLL文件名（一个以00结束的ASCII字符串）的32位RVA地址。

　　FirstThunk

　　该字段是指向一32位以00结束的RVA偏移地址串，此地址串中每个地址描述一个输入函数，它在输入表中的顺序是可变的。

　　**************************************************************************

　　好了，你有没有理解？让我们看看我们有多少IID，它们从偏移A00处开始

　　3C30 0000 / 0000 0000 / 0000 0000 / 8C30 0000 / 6430 0000

　　{OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk}

　　5C30 0000 / 0000 0000 / 0000 0000 / 9930 0000 / 8430 0000

　　{OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk}

　　0000 0000 / 0000 0000 / 0000 0000 / 0000 0000 / 0000 0000

　　每三分之一是个分界，我们知道每个IID包含了一个DLL的调用信息，现在我们有2个IID，所以我们估计这个程序调用了2个DLL。甚至我可以打赌，你能推测出我们将能找到什么。

　　每个IID的第四个字段表示的是名字，通过它我们可以知道被调用的函数名。第一个IID的名字字段是8C30 0000，翻转过来也就是地址0000308C，将它减去2600可以得到原始偏移，308C-2600=A8C，来到文件偏移A8C处，我们看到了什么？啊哈！原来调用的是KERNEL32.dll。

　　好了，接下来我们就要去找出KERNEL32.dll中被调用的函数。回到第一个IID。

　　FirstThunk字段包含了被调用的函数名的标志，OriginalFirstThunk仅仅是FirstThunk的备份，甚至有的程序根本没有，所以我们通常看FirstThunk，它在程序运行时被初始化。

　　KERNEL32.dll的FirstThunk字段值是6430 0000，翻转过来也就是地址00003064，减去2600得A64，在偏移A64处就是我们的IMAGE_THUNK_DATA，它存储的是一串地址，以一串00结束。如下：

　　A430 0000/B230 0000/C030 0000/CE30 0000/DE30 0000/EA30 0000/F630 0000/0000 0000

　　通常在一个完整的程序里都将有这些。我们现在有了7个函数调用，让我们来看其中的两个：

　　DE30 0000翻转后是30DE，减去2600后等于ADE，看在偏移ADE处的字符串是ReadFile，

　　EA30 0000翻转后是30EA，减去2600后等于AEA，看在偏移AEA处的字符串是WriteFile，

　　你可能注意到了，在函数名前还有2个这字节的00，它是被作为一个提示。

　　很简单吧，你可以自己来试一下。回到A00，看第二个DLL的调用

　　5C30 0000 / 0000 0000 / 0000 0000 / 9930 0000 / 8430 0000

　　{OrignalFirstThunk} {TimeDateStamp} {ForwardChain} {Name} {First Thunk}

　　先找它的DLL文件名。9930翻转为3099-2600 =A99，在偏移A99处找到USER32.dll。再看FirstThunk字段值：8430翻转为3084-2600=A84，偏移A84处保存的地址为08310000，翻转后3108-2600=B08，偏移B08处字符串为MessageBoxA。明白了吧，接下来你就可以把这些用在你自己的EXE文件上了。

　　摘要：

　　在PE文件头+80偏移处存放着输入表的地址，输入表包含了DLL被调用的每个函数的函数名和FirstThunk，通常还有Forward Chain和TimeStamp。

　　当运行程序时系统调用GetProcAddress，将函数名作为参数，换取真正的函数入口地址，并在内存中写入输入表。当你对一个程序脱壳时你可能注意到你有了一个已经初始化的FirstThunk。例如，在我的WIN98上，函数GetProcAddress的入口地址是AE6DF7BF，在98上，所有的KERNEL32.dll函数调用地址看上去地址都象：xxxxF7BF，如果你在输入表中看到这些，你可以利用orignal thunk重建它，或者重建这个PE程序。

　　1. 前言

　　=======

　　大家好 :) 我之所以写这篇短文，是由于我在 Dump 时发现，很多加压、加密软件都使

　　得输入表（Import Table）不可用，所以 Dump 出的可执行文件必须要重建输入表。而在普

　　通的讲授 Win32 汇编的站点上我没有找到这样的介绍，所以如果你对此感兴趣，那么这篇

　　短文对你会有些帮助。

　　例如，为了让从内存中 Dump 出的经 PETite v2.1 压缩过的可执行文件正常运行，必

　　须重建输入表。（对于 ASPack、PEPack、PESentry……也同样）这就是所有 Dump 软件都

　　具备重建输入表功能的原因（例如 G-RoM/UCF 制作的 Phoenix Engine（ProcDump 内含），

　　或者由 Virogen/PC 和我制作的 PE Rebuilder）。

　　鉴于这个问题十分特殊，而且比较复杂，所以我假定你已经了解了 PE 文件结构。（你

　　需要阅读有关 PE 文件的文档）

　　2. 预备知识

　　===========

　　首先是一些关于输入表和 RVA/VA 的简介。

　　输入表的相对虚拟地址（RVA）储存在 PE 文件头部的相应目录入口（它的偏移量为

　　[ PE 文件头偏移量+80h ]）。由于是虚拟偏移量，所以它和文件输入表中的偏移量（VA）

　　是不匹配的（除非文件纯粹是刚刚从内存中 Dump 出来的）。于是我们首先要做的事情是，

　　找到 PE 文件的输入表，将 RVA 转换为相应的 VA。为此，我们可以采用不同的办法：你可

　　以自行编制软件来分析块（Sections）目录并计算 VA，但最简单的办法是使用专门为此设

　　计的应用程序接口（API）。这个 API 包括在 IMAGEHLP.DLL（Win9X 和 NT 系统都使用的

　　一个库）中，名为 ImageRvaToVa。下面是对它的描述（完整的内容详见 MSDN 库）：

　　# LPVOID ImageRvaToVa(

　　# IN PIMAGE_NT_HEADERS NtHeaders,

　　# IN LPVOID Base,

　　# IN DWORD Rva,

　　# IN OUT PIMAGE_SECTION_HEADER *LastRvaSection

　　#);

　　#

　　# 参数：

　　#

　　# NtHeaders

　　#

　　# 指示一个 IMAGE_NT_HEADERS 结构。通过调用 ImageNtHeader 函数可以获得这个结构。

　　#

　　# Base

　　#

　　# 指定通过调用 MapViewOfFile 函数映射入内存的一个映象的基址（Base Address）。

　　#

　　# Rva

　　#

　　# 指定相对虚拟地址的位置。

　　#

　　# LastRvaSection

　　#

　　# 指向一个指定的最终 RVA 块的 IMAGE_SECTION_HEADER 结构。这是一个可选参数。当被

　　#指定时，它指向一个变量，该变量包含指定映象的最后块值，以便将 RVA 转换为 VA。

　　就这么简单。你只需要将 PE 文件映射入内存，然后调用这个函数就能够得到输入表的正

　　确 VA。

　　注意，下面我会忽略所有的 RVA/VA 注释，但是，当你对重建的 PE 文件进行读出或写入

　　RVAs 操作时，不要忘记它们之间的转换。

　　3. 完整说明

　　===========

　　这里是一个完整改变输入表的例子（这个 PE 文件的输入表已经被 PETite v2.1 压缩过，

　　并且是直接从内存中 Dump 出来的）：

　　我们用“`”表示 00，用“-”表示非字符串

　　0000C1E8h : 00 00 00 00 00 00 00 00 00 00 00 00 BA C2 00 00 ````````````----

　　0000C1F8h : 38 C2 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ----````````````

　　0000C208h : C5 C2 00 00 44 C2 00 00 00 00 00 00 00 00 00 00 --------````````

　　0000C218h : 00 00 00 00 D2 C2 00 00 54 C2 00 00 00 00 00 00 ````--------````

　　0000C228h : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ````````````````

　　0000C238h : 7F 89 E7 77 4C BC E8 77 00 00 00 00 E6 9F F1 77 --------````----

　　0000C248h : 1A 38 F1 77 10 40 F1 77 00 00 00 00 4F 1E D8 77 --------````----

　　0000C258h : 00 00 00 00 00 00 4D 65 73 73 61 67 65 42 6F 78 ``````MessageBox

　　0000C268h : 41 00 00 00 77 73 70 72 69 6E 74 66 41 00 00 00 A```wsprintfA```

　　0000C278h : 45 78 69 74 50 72 6F 63 65 73 73 00 00 00 4C 6F ExitProcess```Lo

　　0000C288h : 61 64 4C 69 62 72 61 72 79 41 00 00 00 00 47 65 adLibraryA````Ge

　　0000C298h : 74 50 72 6F 63 41 64 64 72 65 73 73 00 00 00 00 tProcAddress````

　　0000C2A8h : 47 65 74 4F 70 65 6E 46 69 6C 65 4E 61 6D 65 41 GetOpenFileNameA

　　0000C2B8h : 00 00 55 53 45 52 33 32 2E 64 6C 6C 00 4B 45 52 ``USER32.dll`KER

　　0000C2C8h : 4E 45 4C 33 32 2E 64 6C 6C 00 63 6F 6D 64 6C 67 NEL32.dll`comdlg

　　0000C2D8h : 33 32 2E 64 6C 6C 00 00 00 00 00 00 00 00 00 00 32.dll``````````

　　正如你看到的，这个输入表被分成三个主要部分：

　　－ C1E8h - C237h：IMAGE_IMPORT_DESCRIPTOR 结构部分，对应着每一个需要输入的动态

　　链接库（DLL）。这部分以关键字 00 结束。

　　IMAGE_IMPORT_DESCRIPTOR struct

　　OriginalFirstThunk dd 0 ;原拆分 IAT 的 RVA

　　TimeDateStamp dd 0 ;没有使用

　　ForwarderChain dd 0 ;没有使用

　　Name dd 0 ;DLL 名字符串的 RVA

　　FirstThunk dd 0 ;IAT 部分的 RVA

　　IMAGE_IMPORT_DESCRIPTOR ends

　　－ C238h - C25Bh：这部分双字（DWord） 称作“IAT”，由 IMAGE_IMPORT_DESCRIPTOR

　　结构中的 FirstThunk 部分指明。这部分每一个 DWord 对应一个输入函数。

　　－ C25Ch - C2DDh : 这里是输入函数和 DLL 文件的名称。问题是，这些是没有规定顺序

　　的：有时候 DLL 文件在函数前面，有时候正好相反，另外一些时候它们混在一起。

　　输入表的简介

　　------------

　　OriginalFirstThunk 是 IAT 的一部分，它是 PE 文件引导时首先要搜索的。如果存在，PE

　　文件的引导部分将使用它来纠正在 FirstThunk IAT 部分的问题。当调入内存后，FirstThunk

　　的每一个 Dword （包含有函数名字符串的 RVA），将被 RVA 替换为函数的真实地址（当调用这

　　些函数时，它们调入内存的位置将被执行）。所以，只要 OriginalFirstThunk 没有被改变，基

　　本上这里不存在输入表的问题。

　　下面来看我们的问题

　　------------------

　　好了，经过简单描述后，下面来看我们的问题。如果你试图运行包含上面显示的输入表的可

　　执行文件，它不会被调入，Windows 会显示一个错误信息。为什么？很简单，因为

　　OriginalFirstThunk 被删除了。事实上，你应该注意到，在这个输入表的每一个IMAGE_IMPORT_DESCRIPTOR 结构，OriginalFirstThunk 的内容都是 00000000h。嗯，所以我们

　　可以推测出，当我们运行这个可执行程序时，PE 文件的引导部分试图从 FirstThunk 部分获得

　　输入函数的名字。但是，正象你注意到的，这部分根本没有包含函数名字符串的 RVA，但是函数

　　地址的 RVA 在内存中。

　　我们需要怎么做

　　--------------

　　现在，为了让这个可执行文件运行，我们需要重建 FirstThunk 部分的内容，让它们指向我

　　们在输入表第三部分看到的函数名字符串。这不是一项很困难的任务，但是，我们需要知道哪个

　　IAT 对应哪个函数，而函数字符串和 FirstThunk 内容并不采用同样的存储方法。所以，对于每

　　一个 IAT，我们需要验证它对应的是哪个函数名（事实上，根据 IMAGE_IMPORT_

　　DESCRIPTOR.Name DWord 我们已经有了 DLL 名称，这些并没有被改变）。

　　如何验证每一个函数

　　------------------

　　正向我们上面所见到的，在内存中，每一个被破坏的 IAT 都有一个函数地址的 RVA。这些

　　地址并没有被破坏，所以，我们只要重新找回指向错误 IAT 的函数地址，把它们指向函数名字

　　符串。

　　为此，在 Kernel32.dll 中有一个非常有用的 API：GetProcAddress。它允许你得到给定函

　　数的地址。这里是它的描述：

　　GetProcAddress(

　　HMODULE hModule, // DLL 模块的句柄

　　LPCSTR lpProcName // 函数名

　　);

　　所以，对于每一个被破坏的 IAT，在 GetProcAddress 返回我们寻找的函数地址之前，只需

　　要分析包含在输入表第三部分的所有函数名。

　　－ hModule 参数是 DLL 模块的句柄（也就是说，模块映象在内存中的基址），我们可以通

　　过 GetModuleHandleA API 得到：

　　HMODULE GetModuleHandle(

　　LPCTSTR lpModuleName // 返回模块名地址句柄

　　);

　　（lpModuleName 只需要指向我们从 IMAGE_IMPORT_DESCRIPTOR.Name 部分得到的 DLL 文件

　　名字符串）

　　－ lpProcName 仅指向函数名字符串。

　　注意，有时候函数是按序号输入的。这些序号是在每个 [ 函数名偏移量-2 ] 处的单字（WORDS）。

　　所以，你在分析程序时需要检查函数是按名称还是按序号输入的。

　　使用上面输入表的实例

　　--------------------

　　针对上面输入表的例子，我将说明如何修复第一个输入 DLL 的第一个输入函数。

　　1. 我们来看第一个 IMAGE_IMPORT_DESCRIPTOR 结构部分（C1E8h），.Name 部分（C1E4h，指向

　　C1BAh）指出了 DLL 名。我们看到，那是 USER32.dll。

　　2. 我们来看 .FirstThunk 部分，它们指向 IAT 部分；每个对应一个这个 DLL（user32.dll）的

　　输入函数。在这里是 C1F8h，指向 C238h。所以，在 C238h，我们可以修复被破坏的 IATs。（你

　　会注意到，这个 IAT 部分包含二个 DWords，所以，这个 DLL 有二个函数输入）

　　3. 我们得到了第一个被破坏的 IAT。它的值是 77E7897Fh。这是函数在内存中的地址。

　　4. 对每一个输入表第三部分中的函数，我们调用 GetProcAddress API。当该 API 返回 7E7897Fh

　　时就意味着，我们到达了正确的函数。所以我们让被破坏的 IAT 指向正确函数名（在本例中为 'wsprintfA'）。

　　5. 现在我们只需要将 IAT 指向：偏移量（函数名字符串）-2。为什么是 -2 ？因为有时候使用了

　　函数序列。

　　所以在本例中，我们改变地址 C238h，让它指向 C26Ah（以代替 77E7897Fh）。

　　6. 就这样，这个函数被修复了，下面你只需要对所有的 IATs 重复这个过程就可以了。

　　后记

　　----

　　我描述的是一般的操作过程。当然只有在 DLLs 被正常调入内存后才能够这样做。对于其他情

　　况，你需要将它们调入，或者你需要仔细研究它们的输出表才能找到正确的函数地址。

　　摘要：第五节 脱壳高级篇有很多介绍PE文件的文章，但是我打算写一篇关于输入表的文章，因为它对于破解很有用。

　　标签：加密 解密 crack 破解

　　3、IceDump和NticeDump使用

　　IceDump和NticeDump是一款配合SoftICE扩展其内存操作的工具，IceDump支持Windows 9x、Windows Millennium系统，NticeDump支持Windows NT/2000。它们的出现，使SoftICE如虎添翼，TRW2000的许多特色功能在SoftICE里也可实现了。

　　1．Icedump操作简介

　　运行IceDump前，首先要确定SoftICE版本号，按Ctrl+D切换到SoftICE下命令：VER，查看版本号。然后在相应SoftICE版本号目录下运行icedump.exe文件，它会调用自身的VXD文件，装载成功出现图7.16所示画面。如果发现SoftICE没运行或版本不符，就拒绝运行。 如果想从内存中卸载它，可以在DOS下键入"icedump u"。

　　1）/DUMP <起始地址> [<长度> <文件名>]

　　抓取内存中的数据到文件里，类似TRW2000中的W命令。<文件名>参数可以指定盘符和路径，当在Ring-0下还原时最好清除还原区域内的全部断点，否则会给SoftICE带来不必要麻烦。（这一点在所有的IceDump命令里都应该值得注意）

　　在Win32系统下读者可能会想到用/BHRAMA或/PEDUMP从内存内中重建一个可用的PE镜像。请看下面关于/OPTION命令的说明。

　　注意： IceDump 6.015以前类似的命令是PAGEIN D <address> [<length> <filename>]

　　2）/LOAD <地址> <长度> <文件名>

　　把<文件>指定长度的字节内容调入到内存中的<地址>处。与/DUMP的作用相反，同样需要注意的是不要设置断点。

　　3）/BHRAMA <Bhrama dumper server 窗口名>

　　用Procdump的Bhrama(由G-Rom出品的著名脱壳工具）来初始化dumping。用户必须提供窗口的名称，可以从标题条找到它。为了使工作简单化，可以在winice.dat里设置F3键：

　　F3="/BHRAMA ProcDump32 - Dumper Server;"

　　4） /TRACEX <low EIP> [<high EIP>]

　　控制跟踪器并退出SoftICE。注意该命令只能用于跟踪当前线程，如果要跟踪其它线程，请使用/TRACE命令。

　　/TRACEX <low EIP>： 跟踪当前线程。注意，如果跟踪当前线程弹出SoftICE窗口后想继续跟踪，必须使用/TRACEX命令，否则跟踪器会失去对当前线程的控制。

　　当线程的EIP到达<low EIP>时，跟踪停止并弹出SoftICE窗口。这也要求EIP真正可以到达，否则SoftICE不会弹出。

　　/TRACEX <low EIP> <high EIP> 跟踪当前线程，注意事项同上。

　　当线程的EIP到达<low EIP>与<high EIP>之间的区域内时停止并弹出SoftICE窗口。注意这里没有作<low EIP>和<high EIP>的边界检查，所以错误的参数地址会使SoftICE不能中断。

　　5） /SCREENDUMP [<文件名>]

　　把SoftICE屏幕内容保存到一个文件中。注意该功能只支持通用显示驱动模式。这个命令的用法类似于/DUMP，如果没有指定<文件名>，IceDump将在模式0、1、2、3和4中切换。

　　模式1：默认模式，将以ASCII格式输出。

　　模式0：字节属性也将被抓取。

　　模式2：可以把屏幕内容保存成一个HTML文件。

　　模式3：会把屏幕内容保存成LaTeX格式的文件。

　　模式4 ：把屏幕内容保存为EPS (encapsulated Postscript)格式。

　　2．NticeDump操作简介

　　Nticedump远不如IceDump功能强大，并且Nticedump装载方式不同于IceDump，它是通过给SoftICE打补丁来实现0特权级控制权的，这是因为在Windows 2000上，要切换到0特权级不象Windows9x那么容易了。

　　要打补丁的文件是\WINNT\SYSTEM32\DRIVERS\Ntice.sys，在Nticedump目录里有一补丁工具ntid.exe，把安装目录下相应SoftICE版本的Icedump文件与ntid.exe一同复制到\WINNT\SYSTEM32\DRIVERS\目录下，然后运行ntid.exe程序就能正确补丁Ntice.sys。这样Nticedump和SoftICE就完全结合了。

　　1） 抓取内存数据：PAGEIN D 基地址 长度 文件名

　　例: PAGEIN D 400000 512 \??\C:\memory.dmp

　　注意： 在NT输入输出管理系统中，象"C:\memory.dmp"不是合法路径。"\??\C:\filename.dmp"是在C盘根目录下创建"filename.dmp"文件。

　　2） 抓取进程: PAGEIN B <Bhrama窗口名>

　　例: PAGEIN B ProcDump32 - Dumper Server

　　3） 导入文件: PAGEIN L 基地址 长度 文件名

　　Example: PAGEIN L 400000 512 \??\C:\memory.dmp

　　4.1、Import REConstructor使用

　　Import REConstructor可以从杂乱的IAT中重建一个新的Import表（例如加壳软件等），它可以重建Import表的描述符、IAT和所有的ASCII函数名。用它配合手动脱壳，可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等壳。该工具位于：光盘\tools\PE tools\Rebuilders\Import REConstructor。

　　在运行Import REConstructor之前，必须满足如下条件：

　　1） 目标文件己完全被Dump到另一文件；

　　2） 目标文件必须正在运行中；

　　3） 事先要找到真正的入口点（OEP）；

　　4） 最好加载IceDump，这样建立的输入表较少存在跨平台的问题。

　　步骤如下：

　　（1）找被脱壳的入口点（OEP）；

　　（2）完全Dump目标文件；

　　（3）运行Import REConstructor和需要脱壳的应用程序；

　　（4）在Import REConstructor下拉列表框中选择应用程序进程；

　　（5）在左下角填上应用程序的真正入口点偏移（OEP）；

　　（6）按"IAT AutoSearch"按钮，让其自动检测IAT位置， 出现"Found address which may be in the Original IAT.Try 'Get Import'"对话框，这表示输入的OEP发挥作用了。

　　（7）按"Get Import"按钮，让其分析IAT结构得到基本信息；

　　（8）如发现某个DLL显示"valid :NO" ，按"Show Invalids"按钮将分析所有的无效信息，在Imported Function Found栏中点击鼠标右键，选择"Trace Level1 (Disasm)"，再按"Show Invalids"按钮。如果成功，可以看到所有的DLL都为"valid:YES"字样；

　　（9）再次刷新"Show Invalids"按钮查看结果，如仍有无效的地址，继续手动用右键的Level 2或3修复；

　　（10）如还是出错，可以利用"Invalidate function(s)"、"Delete thunk(s)"、编辑Import表（双击函数）等功能手动修复。

　　（11）开始修复已脱壳的程序。选择Add new section (缺省是选上的) 来为Dump出来的文件加一个Section(虽然文件比较大，但避免了许多不必要的麻烦) 。

　　（12）按"Fix Dump"按钮，并选择刚在（2）步Dump出来的文件，在此不必要备份。如修复的文件名是"Dump.exe"，它将创建一个"Dump_.exe"，此外OEP也被修正。

　　（13）生成的文件可以跨平台运行。

　　4.2、ReVirgin 使用指南 (作者：blowfish)

　　ReVirgin（简称RV）

　　功能： 重建Import Table；寻找OEP

　　下载地址： http://www.woodmann.com/fravia/index.htm

　　具体地址是：http://www.woodmann.com/fravia/exe/revirgin.zip

　　一、安装。

　　1、自动安装：

　　直接双击*.msi就会自动激活Windows Installer进行安装，这是最省事的办法。如果你的系统太老，可能需要到微软主页上免费下载Windows Installer的包。

　　2、手动安装：

　　可以用WinRAR将*.msi解开到某个目录中。然后把tracer.dll、thread.dll拷贝到%SystemRoot%目录下；对于NT/2K/XP系统，把rvtracer.sys拷贝到%SystemRoot%\system32\drivers目录中。

　　二、重建IT

　　1、首先选择被加壳的程序所对应的进程。如果找不到则点击refresh按钮。

　　2、再找被加壳了的程序的OEP。找OEP的方法主要有：用IceDump的/tracex；用冲击波；手动用debugger跟；利用各种编译器生成的可执行程序的startup code的机器码的pattern来找；利用RV自带的tracer来找。

　　3、找到OEP之后将其填入RV的相应位置（注意要填VA而不是RVA），然后点击“Fetch IAT”，RV会自动分析出IAT的起始RVA和Length。如果你觉得RV找到的不对，你也可以手动找到这个RVA和Length并填入该位置。

　　4、然后点击“IAT Resolver”按钮，RV会自动分析，可能要等好几分钟。这时CPU占用率很高，最好不要切换到其它程序。

　　5、分析完之后会看到一些API函数标记为“redirected/emulated”，此时点击“Resolve again”，大部分函数都可以resolve出来。

　　6、然后在下拉列表中选择“Show unresolved”，因为此时只关心尚未分析出来的API函数。

　　在函数列表框中选中一个或多个函数（按住shift可以选多个），然后打开右键菜单。对于每个未分析出来的API函数，你可以试试右键菜单中的“tracer”或“API Emulator”，如果RV能够分析出来，则相应的行会变成“traced”或“emulated”状态，并且Address这一列会指向DLL的地址范围。

　　一旦变成“traced”或“emulated”状态，则你可以再次点击“resolve again”按钮，这些API函数将会被分析出来。

　　注：

　　a、未分析出来的函数很多时，最好不要用右键菜单中的“Trace all”，后果你试试就知道了；

　　b、右键菜单中的edit是个开关，表示列表中的每列是否可以编辑，此时可以手动输入API函数的相关信息（但这里似乎有bug，因为即使你手动把未分析出来的函数都手动填入了，RV仍说没有全部分析完）。

　　c、右键菜单中的Tracer功能可能会导致被跟踪的程序出现非法操作，所以最好是随时使用“Save resolved”按钮的功能把阶段性结果存为文本文件，一旦出现非法操作还可以用“Load resolved”功能把以前的结果加载进来继续干活。

　　7、对所有的API函数重复5、6两步，大部分都可以分析出来。剩下的那些基本上要用debugger来手动分析了。

　　8、所有的API函数都分析出来之后，就可以生成IT信息，并粘贴到脱壳后的文件中。首先你得确定把生成的IT放在程序的什么位置，一般是放在末尾（此时要添加一个section），但实际上可以放在任何合理的位置。

　　把存放IT的位置的RVA填入，并点击“generate”按钮。如果选中了“Auto fix sections + IT Paste”，则RV会问你脱壳后的exe文件名并自动把IT粘贴进去（但目前的版本没有帮你修改程序的OEP，你得手动修改粘贴好的程序的OEP），并生成一个BIN文件，这个BIN文件是由IT、IAT、DLL名和函数名组成的，供你手动粘贴用（如果你喜欢手动粘贴的话）。

　　至此重建IT完毕。

　　三、其它说明：

　　1、RV的mangled scheme选项是用来对付那种将多个API重定向到同一个函数的壳的，一般用不上。

　　2、RV的底部的“Tracer”按钮是用来跟踪程序找OEP的，功能也很强。 只需要指定OEP可能存在于什么范围（给出最小值、最大值），当被跟踪的程序的EIP落在此区间时RV就会停下来。这和利用IceDump的/tracex来找OEP有些相似。

　　3、API函数列表中的Refs这一列是该函数的引用计数。

　　4、最好是在OEP处将被加壳的进程suspend，然后用RV。因为某些被ASProtect加壳的程序在进入OEP之后会修改IAT的某些项。

　　摘要：第五节 脱壳高级篇有很多介绍PE文件的文章，但是我打算写一篇关于输入表的文章，因为它对于破解很有用。

　　标签：加密 解密 crack 破解

　　1、ASProtect v0.95保护

　　首先忠心感谢D.boy 和RuFeng的热心帮助，是在他们的帮助下，我才对PE文件有一定程度的了解。我把从他们那里吸取的经验总结了一篇文章，希望对大家有所帮助。为了使初学者能更好理解这文章，本人尽量写的仔细点。

　　一、Import表的一些理论知识

　　在你看这篇文章之前,你应对PE文件的结构有一定了解,否则请先看看PE介绍.

　　1、现在不少软件脱壳后Import表被损坏或地址发生改变，需要我们手动找到正确的Import表来替换被破坏的Import表，并修正Import表的地址，程序才能正确执行。

　　程序装载时,需要装载很多函数和DLL文件,这时程序需要判定目标函数的地址并将该函数插补到该执行文件的映像中，所需要的信息都是放在PE文件的Import表，PE文件中的每一个输入函数都明确的列于该表中。

　　一般来说Import表是存放在程序的.idata块，它一般包含其他外来DLL的函数及数据信息。但也有不少程序的Import表不存在idata块中，给我们判断Import表的地址造成困难，但不要着急，只要了解Import表的结构你就能迅速定位Import表的地址。

　　2、Import表以一个IMAGE_IMPORT_DESCRIPTOR数组开始。每一个被PE文件隐式连结进来的DLL都有一个IMAGE_IMPORT_DESCRIPTOR。在这个数组中，没有字段指出该结构数组的项数，但它的最后一个单元是NULL，可以由此计数算出该数组的项数。IMAGE_IMPORT_DESCRIPTOR的格式如下：

　　image_import_descriptors结构：

　　

IMAGE_IMPORT_DESCRIPTOR struct
riginalFirstThunk	dd 0	该字段是一个指针数组的RVA偏移。其中每一个指针都指向一IMAGE_IMPORT_BY_NAME结构
TimeDateStamp	dd 0	时间及日期标志，在这可以忽略
ForwarderChain	dd 0	正向链结索引，在这可以忽略
Name	dd 0	以NULL结尾的ASCII字符的RVA地址，该字符串包含输入的DLL名，比如"Kernel32.dll" 或"USER32.DLL" （关键！，我们定位Import表的依据）
FirstThunk	dd 0	该字段是在Image_thunk_data联合结构中的RVA偏移。大多数情况下，Image_thunk_data是指IMAGE_IMPORT_BY_NAME结构的指针。如果不是一个指针的话，那它就是该功能在DLL中的序号。
IMAGE_IMPORT_DESCRIPTOR ends

　　3、为了使大家更好理解，我们以ShowDep 4.0 beta的Import表为例，ShowDep 4.0用 ASProtect 加壳，用prodump 分析，发现没有idata段。 脱壳大师D.boy很成功分析出该软件的Import表：import rav 0042D104，size 00001470 ；Image Base（基址）＝00400000。

　　该软件的Import表的image_import_descriptors结构如下：

　　-----SHOWDEP!.rdata+1104--------------------------dword-------------PROT---(0)--

　　0030:0042D104 ①0002D23C ②00000000 ③00000000 ④0002DA8A <............... ^

　　0030:0042D114 ⑤0002C070 ⑥0002D43C ⑦00000000 ⑦00000000 p...<........... v

　　（图一）

　　为了解释方便，我在每个数据前加了序号。上图就是一个典型的Import表开始处的image_import_descriptors结构，Import表就是以这个数组开始的一段连续内存空间，在这里大小是1470的连续空间。各项数据含义如下：

　　IMAGE_IMPORT_DESCRIPTOR struct

　　riginalFirstThunk dd 0 ①0002D23C

　　TimeDateStamp dd 0 ②00000000

　　ForwarderChain dd 0 ③00000000

　　Name dd 0 ④0002DA8A（关键！，我们定位Import表的依据）

　　FirstThunk dd 0 ⑤0002C070

　　IMAGE_IMPORT_DESCRIPTOR ends

　　现在我们将image_import_descriptors结构中每项的地址均显示分析一下：

　　① Name选项（我们定位Import表地址就是以此为依据的）

　　在这例Name项值为：④0002DA8A

　　下命令DD 42DA8A （显示内存地址42DA8A的数据，其中42DA8A＝④0002DA8A＋Image Base（基址））

　　-----SHOWDEP!.rdata+1A8A--------------------------dword-------------PROT---(0)--

　　0030:0042DA8A4E52454B 32334C45 4C4C442E 019A0000 KERNEL32.DLL.... ^

　　0030:0042DA9A 64616F4C 73727543 0041726F 6F4C01AB LoadCursorA...Lo v

　　（图二）

　　想必大家己睁大眼睛了，发现什么有价值的东西？对，就是KERNEL32.DLL！就是我们的突破口。

　　Import表装载的基本原理是：根据Import表的指示找到外部模块的文件名，再使用Win32 API函数GetModuleHandleA获得该模块在内存中的句柄。如果没在内存中就使用LoadLibraryA API调用装入该模块。随后使用获得的模块句柄调用Win32 API函数GetProcAddress 获得该模块中Import表指定功能的实际地址，加上装入基址，并且填入Import表的FirstThunk所指的IMAGE_IMPORT_BY_NAME结构指针数组中，完成该模块的一个功能的人工装入填写。循环调用函数GetProcAddress以获得其他功能调用的地址，加上装入基址，并填入之，以完成一个外部模块的装入。再循环上述过程对其他模块进行装入。

　　因此我们可以从函数LoadLibraryA入手，该函数会装入外部模块，我们监视这函数的入口参数是否为KERNEL32.DLL，以此来确定Import表的状况。即确定 image_import_descriptors结构中的name选项。

　　函数LoadLibrary：

　　HINSTANCE LoadLibrary(

　　LPCTSTR lpLibFileName // 执行模块的文件名和地址

　　);

　　只要函数LoadLibrary参数的模块名为KERNEL32.DLL，就会出现图二的情况，这时KERNEL32.DLL地址为0042DA8A。因此image_import_descriptors结构中name为0042DA8A—400000=2DA8A，这时利用S命令在内存中查找字条串002DA8A，就可确定import表的地址。

　　（到这里我们就能确定Import表的地址了，下面几项可帮助我们大家更好理解Import表）

　　②riginalFirstThunk项

　　在这里riginalFirstThunk项值为：①0002D23C

　　下命令DD 42D23C （显示内存地址42D23C的数据，其中42DA8A＝①0002D23C＋Image Base（基址））

　　

-----SHOWDEP!.rdata+123C--------------------------dword-------------PROT---(0)--

0030:0042D23C 0002D798 0002D7A8 0002D7BE 0002D782 ................ ^

0030:0042D24C 0002D7CC 0002D7E0 0002D7F6 0002D80A ................ ^

0030:0042D25C 0002D81C 0002D830 0002D840 0002D854 ....0...@...T... v

0030:0042D26C 0002D868 0002D87C 0002D890 0002D8A0 h...|........... v

　　（图三）

　　图三是一个指针数组，其中每一个指针都指向一IMAGE_IMPORT_BY_NAME结构。

　　我们以第一个指针0002D798为例，显示它所指的IMAGE_IMPORT_BY_NAME结构.

　　下命令：dd 42d798（注意：0002D798＋Image Base（基址））

　　

-----SHOWDEP!.rdata+1798--------------------------dword-------------PROT---(0)--

0030:0042D798 6547011B 636F4C74 69546C61 0000656D ..GetLocalTime.. ^

0030:0042D7A8 6F430025 6E69746E 65446575 45677562 %.ContinueDebugE ^

0030:0042D7B8 746E6576 022B0000 65736552 65764574 vent..+.ResetEve v

0030:0042D7C8 0000746E 615702CB 6F467469 62654472 nt....WaitForDeb v

　　（图四）

　　③FirstThunk项

　　在这例，FirstThunk项的值为：⑤0002C070

　　下命令dd 42c070 （注意：0002c070＋Image Base（基址））:

　　

-----SHOWDEP!.rdata+0070--------------------------dword-------------PROT---(0)--

0030:0042C070 0002D798 0002D7A8 0002D7BE 0002D782 ................ ^

0030:0042C080 0002D7CC 0002D7E0 0002D7F6 0002D80A ................ ^

0030:0042C090 0002D81C 0002D830 0002D840 0002D854 ....0...@...T... v

0030:0042C0A0 0002D868 0002D87C 0002D890 0002D8A0 h...|........... v

　　（图五）

　　图五是一个指针数组（Image_thunk_data联合结构），大多数情况下，Image_thunk_data是指IMAGE_IMPORT_BY_NAME结构的指针。如果不是一个指针的话，那它就是该功能在DLL中的序号。不知你发现没有，图五的数据和图三完全相同，原因就是这个。