输入表免杀方法

输入表是PE文件结构中不可或缺的部分，输入表也称之为“导入表”。 要想了解输入表，首先还得先从DLL文件入手，dll文件也就是“动态连接库文件”，这些文件中有不少的导入函数，这些函数不会直接被执行，当一个程序 （EXE）运行时，导入函数是被程序调用执行的，其执行的代码是不在主程序（EXE）中的一小部分函数，其真正的代码却在DLL文件中。在PE文件映射到 内存后，windows将相应的DLL文件装入，EXE文件经过“输入表”找到相应的DLL中的导入函数，从而完成程序的正常运行，这一动态链接的过程都 是由“输入表”参与的。

手工重建输入表
用LoadPe查看文件的输入表RVA和大小，记录下来
而后把文件用OD载入，打开ImportREC，选中咱们要重建输入表的文件，点“IAT自动搜索”，再填入输入表RVA和大小，点击“得到输入表”， “显示无效”，若是找到了无效的输入表函数就删除掉，最后“修理Dump”，选中你用OD载入的文件，也就是要重建输入表的文件，就能够了。这样改后，用 C32打开重建后的文件，把原来的输入表函数填充掉便可

工具重建输入表
用LoadPe找到输入表RVA，转换为偏移地址。而后打开IAT重建工具，选中所有的输入表dll，导出IAT为一个文本文件，删除IAT，增长区段，重建IAT，选中刚才导出的文本文件就能够了。而后删掉原来的输入表便可（从原来的输入表偏移地址开始填充到末尾）

3.  输入表函数、输入表dll移位
把输入表函数及其前面的两个“提示”机器码复制下来，移动到别的地方，而后记录下如今的位置，转换为内存地址，再减去基址获得RVA，用LoadPe改“Thunk值”为如今的输入表函数地址便可

4.  修改OriginalFirstThunk、日期时间标志、ForwarderChain
这样作能够在必定程度上防止杀毒软件的跟踪查杀，针对国外杀毒软件对输入表的查杀通常是有效果的

5.  输入表dll后加空格
这个方法在之前针对nod32有特效，但如今对付最新版的nod32是没效果的了
还有在对付卡巴启发查杀的时候，也是有效的。但卡巴查杀一个输入表函数的时候，你能够找到这个输入表函数所在的dll，而后在这个dll名称后面加空格，通常是能过掉卡巴启发查杀输入表的。