1.OEP 2.解密IMPORT 3.修复STOLENCODE 1.OEP比较好找,断到最后一次异常后开始单步跟踪,最终一个跨段转移就到了入口,但是是被STOLEN之后的入口了,STOLENCODE在转移之前就已经被执行。 2.ASPR1.23RC4对KERNEL32.DLL里的API做了IATHOOK,所以需要将其IATHOOK去掉进行还原,然后IAT表里不同DLL的函数地址表应该是用0来分隔,但是ASPR用了随机数,这里要清0,还有个别的API是将API代码COPY到程序中直接使用,这里搞明白是啥API就可以修复了。经过以上步骤就修复了IAT。 3.修复STOLENCODE