Продолжаю ковырять ЕХЕ и распаковывать упакованное.
Стал стал обращать внимание что частеньк DUMP таблица импорта уже присутсвует в дампе, но RVA не правильный, другими словами. Указать в Директориях смещение на эту таблицу, то в PE Explorer её будет видно и она корректна и даже совподает с восстановленой, но RVA функций другой. Понятно что меняю в Import Table Directory Item смещение до RVA и всё получается.
Но почему так? Почему таблица есть, но с другими адресами? Какой момент я пропускаю?

| Сообщение посчитали полезным:

Semenov пишет:
Указать в Директориях смещение на эту таблицу, то в PE Explorer её будет видно и она корректна и даже совподает с восстановленой, но RVA функций другой
ты изменил RVA OEP(начало выполнения кода) на ту, которая получилась в результате распаковки. естественно, RVA IAT(адрес начала импорта) изменится. ты файл сдвинул в памяти, как бы.

| Сообщение посчитали полезным:

Дай пример лучше.

| Сообщение посчитали полезным:

А ничего если это очередной вирус? Просто как я заметил они мелкие (не так много кода) и обычно авторы их не сильно извиваются с упаковками.

Gerpes пишет:
ты изменил RVA OEP(начало выполнения кода) на ту, которая получилась в результате распаковки. естественно, RVA IAT(адрес начала импорта) изменится. ты файл сдвинул в памяти, как бы.
А когда оно распаковывалось, оно жэ тоже начало быть в другом месте памяти, даи таблица импорта там была в том месте памяти куда на неё ссылались.

Может просто распаковщик копирует таблицу после распаковки туда где её ищет исполняемый код? Бывает такое?

| Сообщение посчитали полезным:

Всё бывает. Скорее всего используется не оригинальная таблица, иначе ничего менять бы не пришлось.

| Сообщение посчитали полезным: