LoadPE和ImportREC使用

LordPE，是一款功能强大的PE文件分析、修改、脱壳软件。

ImportREC 可以从杂乱的IAT中重建一个新的Import表，它可以重建Import表的描述符、IAT和所有的ASCII函数名。

一般使用LoadPE+ImportREC组合脱壳和修正IAT表

举个例子：有个加壳程序

我们使用od找到OEP后

不适用od的脱壳工具.,复制这个0x7797偏移地址。

使用LoadPE脱壳

先修正镜像大小

然后再完整转存

然后再使用REC寻找脱壳程序的进程：

然后自动寻找IAT表

寻找到之后，获取导入表

然后看是否有无效的

如果发现无效的，就直接删除。

如果没有，就直接修复转存

转存之后，会有一个带下划线的修复之后的程序：

这就是脱完壳之后的程序。

如果熟悉PE结构的话，其实LoadPE做的工作就是把解壳之后的程序，从内存中保存出来，因为PE头中存有SizeOfImage拉伸到内存中大小、文件对齐的SizeOfHeaders所有头部大小+几个节区的信息，这样就可以把拉伸在内存的程序转存成exe等静态文件。

Import REC所做的工作是：利用拉伸到内存中SizeOfImage的导入表进行修正，保存到刚才转存的文件中。