摘要：1. 问题 一些程序经过脱壳后（如用OD的dump插件），一些导入表信息丢失了，导致拖入IDA后看不到API的信息(如右图所示，第一个红圈处实际是GetCurrentProcessId)，给分析造成极大影响。 2. 分析 从OD来看，41F480处的值就是API GetCurrentProcessId的地址，也就是壳修改后的导入表的位置，该地址在.rsrc Section内，即程序的... 阅读全文