手工脱壳之FSG压缩壳-IAT表修复，数控系统逻辑编程基础知识

FSG压缩壳是比较常见的一种壳，其通过对代码段进行压缩和加密，达到加固程序的效果。而脱壳则是指将程序从加固状态中还原出来，以方便进行逆向分析和漏洞挖掘等工作。在进行FSG压缩壳的脱壳过程中，其中一个比较重要的步骤是对IAT表进行修复。

IAT表，全称为Import Address Table，是一张用来保存程序引入的函数地址的表格。在程序执行过程中，若需要调用一个外部函数时，将会在IAT表中查找对应的函数地址，然后跳转到该地址执行对应的函数。因此，如果IAT表的函数地址被加固，则程序无法正常执行。

在FSG压缩壳中，对IAT表的加固方式有两种，一种是通过重定向，即将原本应该调用的函数地址重定向到自己加固的函数地址，另一种是将IAT表中的函数地址进行加密或者混淆。针对这两种情况，我们需要分别进行不同的修复方式。

对于通过重定向进行加固的情况，我们需要通过脱壳工具DumpImport函数，将IAT表中的重定向地址还原出来。然后，再通过恢复IAT表函数地址的方式，将原本应该调用的函数指针替换到IAT表中。这个过程需要在反汇编代码的基础上进行分析，找到相关指令和地址，然后进行修复操作。

对于加密或混淆IAT表函数地址的情况，我们需要在程序执行前进行解密或者解混淆操作，将IAT表中的函数地址还原出来。这个过程需要先进行逆向分析，找到加密或混淆IAT表函数地址的算法和密钥等信息，然后编写脚本或者代码进行解密或解混淆操作。

需要注意的是，在进行IAT表修复时，有可能会遭遇到反调试或反脱壳等技术的拦截，因此，我们需要先进行相应的反反调试或反反脱壳处理，以确保脱壳工作的顺利进行。

总结来说，对于FSG压缩壳的脱壳过程，修复IAT表是其中比较重要的一步。我们需要对不同方式的IAT表加固方式进行相应的分析和修复，并注意可能存在的反调试和反脱壳拦截。同时，还需要有一定的汇编和逆向分析技术，以方便进行相关操作。