手工修復(fù)引入表是破解加殼軟件最難的一道工序，一向是頂尖高手的專利，令我等菜鳥往往望而卻步，而不敢奢望越雷池半步！那么有沒有簡單一些的方法呢？通過本人的實踐，終于找到了這條捷徑。我的做法可以分為以下幾步：

   1、確定程序的OEP，并脫殼。  
   2、使未脫殼程序處于正常運行態(tài)，使用ImportREC或LordPE檢查是否所有的API都可識別，并記錄下不可識別API的列表及其函數(shù)入口地址。  
   3、重新啟動未脫殼程序，并使之中斷在OEP，用前面記錄到的資料在所有不可識別API的入口設(shè)執(zhí)行斷點，盡可能嘗試軟件所有的功能，通過跟蹤查清每一個不可識別API的名稱及實際入口地址，并加以記錄。  
   4、再次啟動未脫殼程序，并使之中斷在OEP，用上一步確定的實際API的入口地址逐一替換相應(yīng)的未識別API入口地址，然后使程序處于正常運行態(tài)，使用ImportREC或LordPE進行檢查，這時所有的API就都能識別了。API識別完成后，對已脫殼的程序進行FixDump，整個修復(fù)過程就完成了。  

 下面讓我們一起來親手搞定目前比較兇悍的加殼保護軟件之一--SVKP1.32（當(dāng)前版本，看雪工具有介紹）。  

   使用工具：（1）、SoftICE 2.6 根據(jù)http://www.chat001.com/forum/crackforum/251195.html自行制作的修改版  
             （2）、ImportREC 1.6 （http://www.pediy.com/tools/PE_tools/Rebuilder/Import REC/ucfir16f.zip）  
             （3）、LordPE DLX（http://www.pediy.com/tools/PE_tools/Lordpe/LPE-DLX.ZIP）  
             （4）、UltraEdit 10.10a（http://www.ttdown.com/SoftDown.asp?ID=6718）  

   目標(biāo)程序： SVK Protect 1.32 （http://www.anticracking.szm.sk/svkp_setup.exe）  

   安裝目標(biāo)程序，裝載SoftICE。  

 1、下斷點“bpint 1”，然后啟動SVKP.EXE，程序中斷于  
001B:07BABC57  CD01                INT      01  
 下命令“bd 0”關(guān)閉斷點，并使用命令“r eip 07BAEE11”修改指令指針，以便躲過SEH陷阱，再下命令“g 07D31FA5”，使程序中斷于07D31FA5處（當(dāng)然，你也可以使用命令“g 00401000”使程序直接停在OEP處），使用F8鍵單步跟蹤，要不了幾步就可以到達程序的OEP：00401000 處了。記錄下此值，并記錄下從OEP開始的幾行指令及相應(yīng)十六進制編碼，下匯編命令“a eip”修改入口指令為“JMP EIP”然后用命令“x”使程序退出SoftICE并在OEP處進入死循環(huán)。

 2、下面需要從內(nèi)存中Dump出程序。啟動LordPE，用鼠標(biāo)指針點選SVKP.EXE進程，點鼠標(biāo)右鍵，在彈出的菜單中點選“Correct Image Size”項前先修正映像尺寸。然后在相同的菜單中點選“Dump Full”以Dump出脫過殼的程序，命名為“SVKP_Dump.exe”。然后還在相同菜單下點選“Burn Process”殺死在內(nèi)存之中處于死循環(huán)狀態(tài)的程序。此后用LordPE的PE Editor功能調(diào)入脫過殼的SVKP_Dump.exe，修改其OEP的RVA為00001000，保存退出。

 3、下面需要復(fù)原SVKP_Dump.exe在OEP處的指令。使用UltraEdit載入SVKP_Dump.exe，使用十六進制碼搜索功能搜索以下字節(jié)串
     eb fe f3 4b 00
找到后修改為：
     68 1d f3 4b 00
改好后存盤退出。至此，脫殼程序SVKP_Dump.exe修改完畢，剩下的工作就是修復(fù)引入表IAT了。

 4、啟動ImpotREC，在進程列表中選取SVKP.EXE，修改相應(yīng)OEP的RVA為00001000，點擊“IAT Auto Search”按鈕，再點擊“Get Impots”按鈕，逐一檢查API的識別情況。最后發(fā)現(xiàn)，有5個API程序無法識別，對應(yīng)的入口分別是：
   (1) 07D37656
   (2) 07D49E52
   (3) 07D49E82
   (4) 07D333DD
   (5) 07D32070

 5、重新啟動加殼程序，使之停在OEP處，下斷點：
   （1）、“bpx 07D37656”
   （2）、“bpx 07D49E52”
   （3）、“bpx 07D49E82”
   （4）、“bpx 07D333DD”
   （5）、“bpx 07D32070”

 然后讓程序繼續(xù)執(zhí)行，分別從斷點處開始跟蹤，看看程序調(diào)用的究竟是哪個API，然后再返回到調(diào)用處看看：

 (1) 00401005 CALL [004C521C] -- 07D37656 <-- SVKP API

 (2) 00402F04 CALL [004C51A8] -- 07D49E52 <-- KERNEL32!CopyFileA

 (2) 0040300B CALL [004C51A8] -- 07D49E52 <-- KERNEL32!CopyFileA

 (3) 00402F58 CALL [004C51B0] -- 07D49E82 <-- KERNEL32!CreateFileMappingA

 (3) 00403694 CALL [004C51B0] -- 07D49E82 <-- KERNEL32!CreateFileMappingA

 (4) 00401086 CALL [004C51F8] -- 07D333DD <-- KERNEL32!GetModuleHandleA

 (5) 004011A8 CALL [004C5200] -- 07D32070 <-- KERNEL32!ExitProcess

   現(xiàn)在情況就比較清楚了，第一個API是用于為傳入的地址裝載固定的文本內(nèi)容，只在程序開始時調(diào)用，不是很重要，我們?yōu)樗�指定一個調(diào)用形式相當(dāng)?shù)腁PI--KERNEL32!GetVersionExA作為替代，其它的API已經(jīng)清楚了。

 6、再次啟動加殼程序，使之停在OEP處，用識別出來的API入口地址替換原來無法識別的API入口地址。在本人的系統(tǒng)下，這些識別出來的API的對應(yīng)地址分別是：
 （1）、KERNEL32!GetVersionExA      -- 77E6A9C3
 （2）、KERNEL32!CopyFileA          -- 77E7DA46
 （3）、KERNEL32!CreateFileMappingA -- 77E68492
 （4）、KERNEL32!GetModuleHandleA  -- 77E66C42
 （5）、KERNEL32!ExitProcess        -- 77E78F94

 需要做的工作就是把這些新的入口地址填到相應(yīng)的內(nèi)存單元，就像這樣：
 序號    內(nèi)存地址      修改前      修改后
===============================================
 （1）、[004C521C]    07D37656    77E6A9C3
 （2）、[004C51A8]    07D49E52    77E7DA46
 （3）、[004C51B0]    07D49E82    77E68492
 （4）、[004C51F8]    07D333DD    77E66C42
 （5）、[004C5200]    07D32070    77E78F94
===============================================
   為此，分別下命令：
 （1）、    “e 004C521C C3 A9 E6 77”
 （2）、    “e 004C51A8 46 DA E7 77”
 （3）、    “e 004C51B0 92 84 E6 77”
 （4）、    “e 004C51F8 42 6C E6 77”
 （5）、    “e 004C5200 94 8F E7 77”
   以完成此項修改。

   完成此項工作后，下命令“r eip 0040102E”，把EIP從00401000更改為0040102E，讓程序繼續(xù)執(zhí)行。按照前面的第4項操作，你會發(fā)現(xiàn)，所有的API都可以正常識別出來了。這時，用鼠標(biāo)點選“Fix Dump”按鈕，在彈出的文件選擇窗中，用Browse功能選取前面已經(jīng)脫過殼的SVKP_Dump.EXE，點確定就Ok了。

   7、由于KERNEL32!GetVersionExA是代用的，所以還需要考慮修改后給程序流向帶來的影響。
001B:00401000  681DF34B00          PUSH      004BF31D
001B:00401005  FF151C524C00        CALL      [004C521C]
001B:0040100B  85C0                TEST      EAX,EAX
001B:0040100D  751F                JNZ      0040102E
我們看到，修改前:
001B:00401005  FF151C524C00        CALL      [004C521C]
總是返回EAX=1，而修改后又總是返回EAX=0，這就改變了程序的實際流向，必須補救，措施就是把
001B:0040100D  751F                JNZ      0040102E
修改為
001B:0040100D  EB1F                JMP      0040102E
Ok，你都照做了嗎？大功告成！試著啟動一下程序看看，是不是很酷？