1) 目标文件己完全被Dump到另一文件;这时启用Loadpe工具,输入表重建工具(ImportREC)下载找到对应的进程,右键先执行"correct ImageSize”,再执行"dump full",保存为dumped.exe2.目标文件必须正在运行中在Imported Functions Found这一窗口中单击右键,选择Thrace Level1(Disasm),再单击"Show InvalidImport REConstructor可以从杂乱的IAT中重建一个新的Import表(例如加壳软件等),它可以重建Import表的描述符、IAT和所有的ASCII函数名。以加壳RebPE.exe为例,首先OD加载:4) 最好加载IceDump,这样建立的输入表较少存在跨平台的问题。表示输入的OEP发挥了作用,如果没有,则要手动填入IAT的RVA和大小。
