第八课 重建输入表-脱壳基础知识入门（2006年版）

   在脱壳中输入表处理是很关键的一个环节，因此要求脱壳者对PE格式中的输入表概念非常清楚。在磁盘文件中，PE文件的输入表结构如下图所示：


                         图8.1 磁盘文件中的输入表

   PE文件运行时，Windows系统加载器首先搜索OriginalFirstThunk，如果存在，装载程序迭代搜索数组中的每个指针，找到每个IMAGE_IMPORT_BY_NAME结构所指向的输入函数的地址，然后用函数入口地址来替代由FirstThunk指向的 IMAGE_THUNK_DATA 数组里的元素值（即用真实的函数地址填充到IAT里）。因当PE文件装载内存后准备执行时，上图己转换成这种情况了：


                         图8.2 PE文件装载内存后的输入表

   此时输入表中其它部分就不重要了，程序依靠IAT提供的函数地址就可正常运行（图8.2 红圈部分）。如果程序加壳了，那壳自己模仿Windows装载器的工作来填充IAT中相关的数据，此时内存中就一张IAT表，输入表的其他部分是不存的（当然不是绝对的，也有不少壳，如Aspack等，内存中会出现完整的输入表结构），如图8.3所示。

                       
             图8.3 外壳加载程序后的内部IAT

   输入表重建就是根据图8.3这张IAT恢复整个输入表的结构（即图8.1这个结构），ImpREC这款工具就是这个功能。
   一些压缩壳，填充IAT过程中没做什么手脚，用ImpREC工具可以直接重建输入表。而一些加密壳为了防止输入表被还原，就在IAT加密上大作文章，此时壳填充IAT里的不是实际的API地址，而是填充壳中用来HOOK-API的外壳代码的地址。这样壳中的代码一旦完成了加载工作，在进入原程序的代码之后，仍然能够间接地获得程序的控制权。 因为程序总是需要与系统打交道，与系统交道的途径是API，而API的地址已经替换成了壳的HOOK-API的地址，那程序每一次与系统打交道，都会让壳的代码获得一次控制权，这样壳可以进行反跟踪继续保护软件，同时也可完成某些特殊的任务。所以重建输入表的关键是获得没加密的IAT ，一般的做法是跟踪加壳程序对IAT处理过程，修改相关指令，不让外壳加密IAT。

   UPX、ASPack等加壳保护的壳没加密IAT，而ASProtect、tElock等加密保护的壳都对IAT进行了加密处理。这篇先来简单的，即UPX壳。用OD打开上面的notepad.upx.exe实例，运行到OEP。（实际跟踪过程中，不一定要到OEP，只要外壳处理完IAT就可）然后如下操作：

1) 运行ImportREC，在下拉列表框中选择notepad.upx.exe进程，如图：

[1] [2] 下一页