如何修复dll的内存转储-因此我使用olly \ ida动态地将其恢复

我需要分析恶意软件模块的内存转储，不幸的是该示例不是原始dll，而是内存中的dll转储。

现在修复sections headers非常容易-我只需要使Virtual address \ size与Raw address \ size匹配，因为这是PE一次加载到内存后的内容（转储的情况是这样）

但是现在有一个不同的问题，当我打开文件时例如IDA-PRO，内存未正确对齐，因此分析不正确，并且并非所有具有相对地址的call函数都能正常工作（它们未指向正确的位置-或在PE大小方面有意义的位置） />
我觉得在ida上重新建立PE的解决方案是不完整的，并且无法按照我的需要进行修复。
我也想修复PE，以便可以动态加载后来用ollydbg（好像我有原始的一样）

所以我的问题是：
您如何建议我固定PE头ers并重新整理程序，以便我可以成功加载它？对于VirusTotal-Intelligence用户，示例MD5为：
3bb85abe51b0f96f501d2bb32ec4edef
SHA256：
83c95637712cacc0f28028046546575 />
示例：
https://www.hybrid-analysis.com/search?query=vxfamily%3AGen:Variant.Terkcop

2015_12_08_ExtraInfo：
@ ubnix，我尚未阅读您发送给我的材料的内容，但我非常了解IAT的重要性-顺便说一句，这正是将文件加载到IDA上时的问题。

dll的加载地址为0x10000000（因此，每个段的加载地址均为0x10001000-分别取决于大小，依此类推，分别为0x10000000和转发。）

恶意软件的代码期望IAT位于0x05320000，显然不是这样。当我尝试使用IDA-PRO更改IAT段的位置时（如果我记得，请按Ctrl + S或ALT + S），这使我的IDA客户端崩溃。

显然，更改地址只能作为在IDA pro上静态查看恶意软件的临时解决方案，而不能作为通过ollydbg运行恶意软件的解决方案。如果我想使用olly运行恶意软件，则需要以某种方式使dll在0x5320000的正确地址下运行。将PE的BaseAddress从0x10000000更改为我想要的地址时（使用CFF）资源管理器），它仍在ollydbg处以0x10000000加载。.不知道为什么

Edit2 2015_12_15：
示例示例我“修复”了他的标题，但仍无法正常工作（所有CRT功能都存在问题）

原始示例：
https://www.hybrid-analysis.com/sample/53dd790b1bd0588e542d33bde49dbf33c6fb7828e91a8d13c416c831108d642c?environmentId=1

我已修复示例：
https://www.dropbox.com/s/6dz7athzdja94p4/53_fixed_rebase.dll?dl=0

请注意，这两个文件都是恶意软件的示例，可能会引起防病毒警报。诸如“ Init operation”（类似c ++类初始化）之类的功能失败。