最近在复习PE文件结构,被导入表绕了一把,于是又仔细的分解了一把,整理下思路。
至于导入表的解析,这个很简单,我们要学的是把架构理解清楚,明白文件和内存镜像的区别。
首先我们来看一张图:
这是在文件中导入表的结构,IMAGE_DIRECTORY_ENTRY_IMPORT 中的 OriginalFirstThunk 指向一个INT表,而FirstThunk指向的是IAT表,IAT表中存的也是一个指向最终IMAGE_IMPORT_BY_NAME结构的RVA指针,也就是PIMAGE_THUNK_DATA。
下面我们来看看程序运行时的状态:
这个时候其他的没变,但是IAT表全部被系统替换成函数的实际地址,不再是指向IMAGE_IMPORT_BY_NAME结构。
我们来看看函数是怎么调用的:
call dword ptr ds:[00C8502Ch]
这个00C8502Ch是什么呢?
这个正好是IAT中的一个项,而这个项中的值已经被系统替换成 GetModuleHandleW的真实地址,call 这个直接跳到 kernel32.dll -> GetModuleHandleW 处,完成函数调用。
转载请注明原文地址: https://ju.6miu.com/read-1124932.html
