INT表

image.png

Data：双字开始，全0结束；
Value:代表每一个dll文件所要引入的函数的信息；
Data最高位为0，表示通过函数名引入，指向 IMPORT Hints/Names;为1时，表示通过序号引入函数；（实际上是8）
RVA中的2000对应文件中的600，2064对应文件664，

ExitProces函数

将高位修改为1

第一个dll文件引入目录表

2050指向650，文件名2064对应664

修改为1

然后出现这个，无法定位8092，16进制为2064，即高位为1后，将2064作为它的序号，通过这个序号到kernel32.dll去找ExitProces这个函数，但是此时不存在这个函数，所以才会报错

报错信息
如果知道ExitProces在kernel32.dll真实的序号，把高位覆盖可以恢复

在C盘system32寻找kernel32.dll

用stud_PE分析
函数区段找到exitproces函数的序号183，转为16进制为B7

image.png

修改

image.png

此时还会弹出错误，还需要修改

image.png

2038转为16进制为7F6，即如图位置

image.png

需要在user32.dll函数寻找？

试过了一些方法，但目前还未解决，先放在这里ba