前言

---

下载

使用夸克网盘打开链接，给出的是绿化版免安装

Import REC
链接：https://pan.quark.cn/s/552e4c1ea7d6
提取码：qEMM

下载之后解压得到

里面有使用更新说明

使用修复import table 演示

现在有一个程序，放入PEiD进行查壳

[PEiD] 加密与解密-PEiD查壳工具的下载及详细安装过程（附有下载文件）_peid 下载 csdn-CSDN博客

看到程序带壳PE Diminisher V0.1 -> Teraphy *

接下来使用PEiD的插件进行脱壳

得到入口点为00401000，点击脱壳

点击是，使用ImpREC重建输入表

然后看到程序所在的位置出现一个.unpaked.exe文件，就是脱壳后的文件

双击未脱壳的文件，出现以下界面

应该是输入表的问题，需要重建输入表，就要使用到上面下载的软件Import REC

双击运行未脱壳的文件，出现以下界面，不要关闭，保持运行

打开刚才安装的软件，在下拉框中选择未脱壳的软件，并输入OEP

OEP定位，可以将脱壳后的程序拖进PEiD，看到入口点的偏移地址为00001000，此时是该程序真实的入口地址，即为OEP

输入OEP后，点击自动搜索，显示提示框，表示OEP正确

点击获取输入表

看到有一个未无效函数

点击显示无效函数，右键点击该部分函数，选择跟踪级别1

再次点击显示无效函数，发现没有变化，还是无效函数

重新右键点击无效的函数，选择删除指针数据，点击显示无效函数，已经没有无效函数了

点击修复转存文件，选择已经脱壳后的文件，在记录中出现successfully则修复成功

在文件中会看到三个文件，第一个未脱壳，第二个已脱壳未修复，第三个已脱壳并完成修复

双击运行第三个文件，程序正常运行，修复成功