手动修复脱壳：IAT表错误与RECImport问题解决

本文档主要介绍了如何进行软件脱壳与IAT（Import Address Table，导入表）修复的过程，针对特定的"脱壳2_fsg1"案例展开。首先，作者使用调试技巧，如Shift+F9来查找并设置断点，然后通过F7逐行分析代码，确认某个函数是程序的入口点。在这个过程中，他们尝试使用工具"RECImport"来修复重定位表地址，以便正确处理程序的导入依赖。 然而，遇到的问题是RECImport工具未能完全修复转储后的程序的IAT。工具在自动搜索导入表时，识别出的函数范围有误，起始RVA地址0000AFFC到0000B0E8之间的函数数量被错误计算。作者通过OllyDbg或类似的反汇编器（如OD，Olly Decompiler）进行手动检查和调整，将两个参数修改为正确的值，从而修正了IAT。 修正IAT后，作者重新使用RecImport工具导入fsg.exe，并进行了相关的转储操作。经过这些步骤，最终成功地修复了程序，使其能够正确运行。这个过程揭示了在软件逆向工程和脱壳过程中，不仅需要技术熟练度，还要对工具的局限性和内存数据有深入理解，才能有效解决问题。 总结来说，本文讲述了在面对软件脱壳挑战时，如何通过调试、工具使用和手动分析来解决IAT修复问题，对于深入理解软件动态链接机制和逆向工程实践具有参考价值。