confusion

一.内存镜像法 1.先用PEiD查壳。 2.进入OD，停在此处。 3.关闭所有异常。 4.先后在资源段，运行，代码段下断点，运行 发现程序已然开始 在程序刚进入的时候停在资源段内，如果在此下断，并不会运行，于是在输入表下断。 4.下断后运行之 停在输入表 5.双击代码段可以看到还未解压（如果是加密总不能密文都是一样的吧），继续在资源段下断，运行 6.还没解压。。在代码段下断，运

上回找到了OEP,接着就进行脱壳。 用OllyDump，不选择重建输入表，点击脱壳。 用Import REConstructor修复IAT，修改OEP，自动搜索，获取输入表（ps:此时od未关，停在OEP处） DIT查询得知此程序是vc编译，而一个简单的vc编译程序是这样： 所以需要手动查找IAT。 在402190上面找到最开始的地方（前面全是0的位置）402000就是IAT的位