PE输入表转向的疑问-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
风随雨行雪币： 2513 活跃值： (570) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼你用OD动态跟一下就知道原因了 2010-3-22 16:42 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 3 楼当我们call HeapAlloc函数时，不是跳转到此要执行吗？ IDA是静态反汇编，看到的就是这样的。要想看到RtlAllocateHeap的代码用OD去跟还有类似这种转向的情况，写dll程序怎么写才能编译生成这样式的？一般的DLL用IDA看就是这样的。 2010-3-22 17:05 0
skypismire 雪币： 75 活跃值： (718) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 4 楼你提到这种情况据我理解并不是 "forward" RtlAllocateHeap是kernel32.dll的一个导入函数，并不是你说的转向。"forward"涉及的是Bound Import directory,前后调用的函数名并不会发生变化. 2010-3-22 17:32 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 5 楼 WINDOWS的函数调用都是把 CALL [函数地址]，而不是 CALL 函数地址，明白没有？ 2010-3-22 19:15 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 6 楼也就是调用的是函数地址的指针，而不是函数地址 2010-3-22 19:16 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 7 楼我弄错了，上面那不是HeapAlloc的入口处，只是导出表里的函数名字。 2010-3-22 20:45 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 8 楼我把前提弄错了，sorry 2010-3-22 20:55 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 9 楼我把问题搞错了，不过你说的好像有点问题， “前后调用的函数名不变”？我觉的函数名完全可以不同，只是在bound import这不需要函数名，只有dll名就够了。具体比如：对于kernel32.dll里的HeapAlloc函数， kernel32.dll输入表里有ntdll.dll里的RtlAllocateHeap，输出表里有ntdll.RtlAllocateHeap，但没有任何实现，只是做一下转向 2010-3-22 21:01 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 10 楼发现了问题，kernel32.dll里没有任何执行代码，只是直接转到了ntdll里的RtlAllocateHeap函数实现里 2010-3-22 21:02 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 11 楼 [QUOTE=liuyq;779924]WINDOWS的函数调用都是把 CALL [函数地址]，而不是 CALL 函数地址，明白没有？[/QUOTE] 哦，这样就不需要jmp stub了 2010-3-22 21:05 0
lynnDGK 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	lynnDGK 12 楼是不是看看TMD是如何处理forword就了解了 2010-3-22 22:26 0
skypismire 雪币： 75 活跃值： (718) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 13 楼我明白你的意思，呵呵，我说的 “forward” 是关于绑定导入的，是快速动态链接的一种方式，只要bound import directory以及bound import forward ref里面描述的dll的时间戳和本系统的dll时间戳一致，就可以用绑定导入了，不会涉及函数名改不改变的问题，哎，对不起啊，抬你杠了，原以为你在绑定导入普通导入上弄混淆了 2010-3-23 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
风随雨行雪币： 2513 活跃值： (570) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼你用OD动态跟一下就知道原因了 2010-3-22 16:42 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 3 楼当我们call HeapAlloc函数时，不是跳转到此要执行吗？ IDA是静态反汇编，看到的就是这样的。要想看到RtlAllocateHeap的代码用OD去跟还有类似这种转向的情况，写dll程序怎么写才能编译生成这样式的？一般的DLL用IDA看就是这样的。 2010-3-22 17:05 0
skypismire 雪币： 75 活跃值： (718) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 4 楼你提到这种情况据我理解并不是 "forward" RtlAllocateHeap是kernel32.dll的一个导入函数，并不是你说的转向。"forward"涉及的是Bound Import directory,前后调用的函数名并不会发生变化. 2010-3-22 17:32 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 5 楼 WINDOWS的函数调用都是把 CALL [函数地址]，而不是 CALL 函数地址，明白没有？ 2010-3-22 19:15 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 6 楼也就是调用的是函数地址的指针，而不是函数地址 2010-3-22 19:16 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 7 楼我弄错了，上面那不是HeapAlloc的入口处，只是导出表里的函数名字。 2010-3-22 20:45 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 8 楼我把前提弄错了，sorry 2010-3-22 20:55 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 9 楼我把问题搞错了，不过你说的好像有点问题， “前后调用的函数名不变”？我觉的函数名完全可以不同，只是在bound import这不需要函数名，只有dll名就够了。具体比如：对于kernel32.dll里的HeapAlloc函数， kernel32.dll输入表里有ntdll.dll里的RtlAllocateHeap，输出表里有ntdll.RtlAllocateHeap，但没有任何实现，只是做一下转向 2010-3-22 21:01 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 10 楼发现了问题，kernel32.dll里没有任何执行代码，只是直接转到了ntdll里的RtlAllocateHeap函数实现里 2010-3-22 21:02 0
glacierTD 雪币： 63 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	glacierTD 11 楼 [QUOTE=liuyq;779924]WINDOWS的函数调用都是把 CALL [函数地址]，而不是 CALL 函数地址，明白没有？[/QUOTE] 哦，这样就不需要jmp stub了 2010-3-22 21:05 0
lynnDGK 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	lynnDGK 12 楼是不是看看TMD是如何处理forword就了解了 2010-3-22 22:26 0
skypismire 雪币： 75 活跃值： (718) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 13 楼我明白你的意思，呵呵，我说的 “forward” 是关于绑定导入的，是快速动态链接的一种方式，只要bound import directory以及bound import forward ref里面描述的dll的时间戳和本系统的dll时间戳一致，就可以用绑定导入了，不会涉及函数名改不改变的问题，哎，对不起啊，抬你杠了，原以为你在绑定导入普通导入上弄混淆了 2010-3-23 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复