Import REConstructor可以從雜亂的IAT中重建一個(gè)新的Import表（例如加殼軟件等），它可以重建Import表的描述符、IAT和所有的ASCII函數(shù)名。

用它配合手動脫殼，可以脫UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等殼。

在運(yùn)行Import REConstructor之前，必須滿足如下條件：

1） 目標(biāo)文件己完全被Dump到另一文件；

2） 目標(biāo)文件必須正在運(yùn)行中；

3） 事先要找到真正的入口點(diǎn)（OEP）；

4） 最好加載IceDump，這樣建立的輸入表較少存在跨平臺的問題。

圖文使用方法

1.目標(biāo)文件已完全被Dump，另存為一個(gè)文件

2.目標(biāo)文件必須正在運(yùn)行中

3.事先找到目標(biāo)程序真正的入口(OEP)或IAT的偏移與大小

以加殼RebPE.exe為例，首先OD加載：

調(diào)試到00413001，設(shè)置硬件斷點(diǎn)hr esp

F9斷下來，單步調(diào)到OEP處:

這時(shí)啟用LoadPE工具，找到對應(yīng)的進(jìn)程，右鍵先執(zhí)行"correct ImageSize”，再執(zhí)行"dump full",保存為dumped.exe

運(yùn)行ImportREC，選擇RebPE.exe進(jìn)程:

在右下角OEP處埴上正確的OEP的RVA值，這里填1130，默認(rèn)時(shí)，ImportREC重建輸入表時(shí)會同時(shí)用此值修正入口點(diǎn)，同時(shí)提供正確的OEP有助于分析IAT的準(zhǔn)確位置，單擊"IAT AutoSearch"按鈕，讓其自動檢測IAT偏移和大小，如果出現(xiàn):

表示輸入的OEP發(fā)揮了作用，如果沒有，則要手動填入IAT的RVA和大小,

單擊"Get Imports"按鈕，讓其分析IAT結(jié)構(gòu)得到基本信息，如下：

本例中所有API都被正確識別了，顯示valid:YES，如果不能識別，就會顯示成valid:NO,單擊"Show Invalid"按鈕分析所有的無效信息，

在Imported Functions Found這一窗口中單擊右鍵，選擇Thrace Level1(Disasm)，再單擊"Show Invalid

最后一步，把前面提出的IAT部分都加上Dump.exe，選擇"Add new section"，單擊Fix Dump，選擇剛抓取的Dump.exe，此時(shí)會生成一個(gè)叫Dump_exe的文件，而輸入表會放在新增的.mackt區(qū)塊上，此時(shí)IAT修復(fù)完成

文字描述使用步驟如下：
（1）找被脫殼的入口點(diǎn)（OEP）；
（2）完全Dump目標(biāo)文件；
（3）運(yùn)行Import REConstructor和需要脫殼的應(yīng)用程序；
（4）在Import REConstructor下拉列表框中選擇應(yīng)用程序進(jìn)程；
（5）在左下角填上應(yīng)用程序的真正入口點(diǎn)偏移（OEP）；
（6）按"IAT AutoSearch"按鈕，讓其自動檢測IAT位置， 出現(xiàn)"Found address which may be in the Original IAT.Try 'Get Import'"對話框，這
表示輸入的OEP發(fā)揮作用了。
（7）按"Get Import"按鈕，讓其分析IAT結(jié)構(gòu)得到基本信息；
（8）如發(fā)現(xiàn)某個(gè)DLL顯示"valid :NO" ，按"Show Invalids"按鈕將分析所有的無效信息，在Imported Function Found欄中點(diǎn)擊鼠標(biāo)右鍵，選
擇"Trace Level1 (Disasm)"，再按"Show Invalids"按鈕。如果成功，可以看到所有的DLL都為"valid:YES"字樣；
（9）再次刷新"Show Invalids"按鈕查看結(jié)果，如仍有無效的地址，繼續(xù)手動用右鍵的Level 2或3修復(fù)；
（10）如還是出錯(cuò)，可以利用"Invalidate function(s)"、"Delete thunk(s)"、編輯Import表（雙擊函數(shù)）等功能手動修復(fù)。
（11）開始修復(fù)已脫殼的程序。選擇Add new section (缺省是選上的) 來為Dump出來的文件加一個(gè)Section(雖然文件比較大，但避免了許多不必要
的麻煩) 。
（12）按"Fix Dump"按鈕，并選擇剛在（2）步Dump出來的文件，在此不必要備份。如修復(fù)的文件名是"Dump.exe"，它將創(chuàng)建一個(gè)"Dump_.exe"，此外
OEP也被修正。
（13）生成的文件可以跨平臺運(yùn)行。