输入表免杀方法

输入表是PE文件结构中不可或缺的部分，输入表也称之为“导入表”。 要想了解输入表，首先还得先从DLL文件入手，dll文件也就是“动态链接库文件”，这些文件中有很多的导入函数，这些函数不会直接被执行，当一个程序 （EXE）运行时，导入函数是被程序调用执行的，其执行的代码是不在主程序（EXE）中的一小部分函数，其真正的代码却在DLL文件中。在PE文件映射到 内存后，windows将相应的DLL文件装入，EXE文件通过“输入表”找到相应的DLL中的导入函数，从而完成程序的正常运行，这一动态连接的过程都 是由“输入表”参与的。

手工重建输入表
用LoadPe查看文件的输入表RVA和大小，记录下来
然后把文件用OD载入，打开ImportREC，选中我们要重建输入表的文件，点“IAT自动搜索”，再填入输入表RVA和大小，点击“获得输入表”， “显示无效”，如果找到了无效的输入表函数就删除掉，最后“修理Dump”，选中你用OD载入的文件，也就是要重建输入表的文件，就可以了。这样改后，用 C32打开重建后的文件，把原来的输入表函数填充掉即可

工具重建输入表
用LoadPe找到输入表RVA，转换为偏移地址。然后打开IAT重建工具，选中全部的输入表dll，导出IAT为一个文本文件，删除IAT，增加区段，重建IAT，选中刚才导出的文本文件就可以了。然后删掉原来的输入表即可（从原来的输入表偏移地址开始填充到末尾）

3.  输入表函数、输入表dll移位
把输入表函数及其前面的两个“提示”机器码复制下来，移动到别的地方，然后记录下现在的位置，转换为内存地址，再减去基址得到RVA，用LoadPe改“Thunk值”为现在的输入表函数地址即可

4.  修改OriginalFirstThunk、日期时间标志、ForwarderChain
这样做可以在一定程度上防止杀毒软件的跟踪查杀，针对国外杀毒软件对输入表的查杀一般是有效果的

5.  输入表dll后加空格
这个方法在以前针对nod32有特效，但现在对付最新版的nod32是没效果的了
还有在对付卡巴启发查杀的时候，也是有效的。但卡巴查杀一个输入表函数的时候，你可以找到这个输入表函数所在的dll，然后在这个dll名称后面加空格，一般是能过掉卡巴启发查杀输入表的。