手工修复PE导入表

PE结构分析之手工修复导入表

打开文件，发现打不开

用 winhex 打开，看一下代码节，在2000处与2008处调用了函数

用 Stud_PE 打开

在区段选项中的 .rdata 处右键，选择转到区段初始

可以看到导入表全是0，就是这里的原因使得无法正常打开，要想打开，我们需要修复导入表

我们可以看一下RVA <=> RAW，2000对应的文件地址为600

在 winhex 中找到导入表的位置，看到有messagebox、user32.dll、exitprocess、kernel32.dll 等信息

前置知识：

INT能够表示出函数名是什么，IAT能够表示出这个函数的入口地址在哪里。

可是系统不知道那个结构是INT，IAT。这时候就用IID来描述。通过IID可以找到INT，IAT，以及调用的dll名称。

Pe文件加载的时候，先通过IID里面指向的INT表获取出该函数名，在dll中查找出来该函数的入口地址，然后填入IID里面指向的IAT表

019D是 messageboxA 的索引号，后面是他的字符串描述。两者合起来构成 IMAGE_IMPORT_BY_NAME 结构

可以看到 messagebox 位置是205C（RVA）

在 IAT 表600（RAW）位置填上205C，IAT 表中每4个字节表示函数名的 RVA。以4个0表示该 IAT 的结束

整理出各个函数及 DLL 的 RVA

这样把 IAT 表修复完成

下面需要完成 INT 表的建立。INT 表应该在 IID 之后，所以先确定 IID 的位置。IID 一共有3个，每个 IID 0x14 长度，3个加起来应该有 0x3c 长度

INT 表示函数调用结束使用4个0作为标志。因为指向的都是同一个地址，所以每个 INT 的值和对应的 IAT 的值是一样的，下面把 INT 表修复完成

下面来完成 IID，先来完成第一个关于 messagebox 的 IID。第一个4字节，是关于调用的 messagebox 函数的 INT 地址，查看得到 messagebox 在 INT 表中的位置：204C。后面两个4字节全填0。第四个4字节是 user32.dll 的RVA，查看得到：206A，最后一个4字节是 messagebox 的 IAT 地址：2000

完成所有修复后结果：

已经可以打开了：