-
-
[旧帖]
[求助]IAT到底在什么地方呀
0.00雪花
-
发表于:
2011-10-10 21:39
1520
-
[旧帖] [求助]IAT到底在什么地方呀
0.00雪花
这几天看脱壳,说找IAT的方法就是找到.idata段,IMAGE_IMPORT_DESCRIPTOR的最后一个域指向的就是IAT的地址。但是,以前看PE文件结构的时候,上面说 “PE文件的可选头部结构的AddressOfEntryPoint域是对PE文件格式来说最为有趣的了。这个域表示应用程序入口点的位置。并且,对于系统黑客来说,这个位置就是导入地址表(IAT)的末尾。”。
于是我就郁闷了,到底哪个是正确的?莫非这两处指向的是同一个地址?于是我测试了一下。
我先查看了IMAGE_IMPORT_DESCRIPTOR的最后一个域,发现最后一个域指向的还是.idata段内的地址。而EntryPoint域前面那段地址明显是.text段的。不一样。。。。
这下真的没办法了,高手帮忙呀,到底哪个是正确的?谢谢了!!!
[课程]FART 脱壳王!加量不加价!FART作者讲授!