-
-
[旧帖] [分享][分享]重定向API总结 0.00雪花
-
发表于: 2012-4-24 09:47
-
|
|
|---|---|
|
|
|
|
|
数据目录中的IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT存放了 延迟加载DLL的信息吧,我在网上找到一篇分析delay IAT的文章http://blog.csdn.net/panda1987/article/details/5936770,可惜我汇编还没学好,看不懂哇  希望对你有用对于originalfirstthunk,firstthunk,绑定输入表,DLL时间戳还是不懂,先去学汇编,再继续研究了 
|
|
|
|
|
|
看了一下代码,写的还不错,
但是有一个地方写错了,
// 修改IAT项
DWORD dwOldProtect = 0 ;
VirtualProtect ( pIAT, 4, PAGE_READWRITE,
&dwOldProtect ) ;
*((DWORD*)pIAT) = dwNewProc ;
VirtualProtect ( pIAT, 4, PAGE_READWRITE,
&dwOldProtect ) ;
应改为:
// 修改IAT项
DWORD dwOldProtect = 0 ;
VirtualProtect ( pIAT, 4, PAGE_READWRITE,
&dwOldProtect ) ;
*((DWORD*)pIAT) = dwNewProc ;
VirtualProtect ( pIAT, 4, dwOldProtect,
&dwOldProtect ) ;
其它没发现什么问题 。
|
|
|
谢谢指正,,,其实这段代码是我抄《windows编程循序渐进》上面的例子
|
|
|
《windows编程循序渐进》这本书我没有看过,
但是书上的东西不一定是对的。 代码我再看了一遍,
//pThunk指向原始的IAT表,说实话我真不清楚什么叫原始IAT表
if ( pIID->OriginalFirstThunk )
pThunk = (PIMAGE_THUNK_DATA)( dwBaseImage +
pIID->OriginalFirstThunk ) ;
else
pThunk = pIAT ;
// 遍历IAT
DWORD dwThunkValue = 0 ;
//dwThunkValue存放原始的IAT表中函数的虚拟地址
while ( ( dwThunkValue = *((DWORD*)pThunk) ) != 0 )
{
if ( ( dwThunkValue & IMAGE_ORDINAL_FLAG32 ) == 0 )
{
这几句代码可能很多人不太明白,我讲解一下吧。 PE导入表中OriginalFirstThunk和FirstThunk都是指向PIMAGE_THUNK_DATA一个结构数组。 FirstThunk的PIMAGE_THUNK_DATA是iat,位于 _IMAGE_IMPORT_DESCRIPTOR结构前面, OriginalFirstThunk的PIMAGE_THUNK_DATA是int,位于 _IMAGE_IMPORT_DESCRIPTOR结构后面面, 一开始iat和int数据内容是相同的, PE加载到内存后系统会根据int和dll名找到相应dll模块加载的基址计算出int里的实际虚拟地址并 填写到iat结构。如果int为空系统没有找到要导入的名称表,不会填充iat地址表, 这样地址表iat就保存了初始状态的int内容。 也就是这里为什么有: if ( pIID->OriginalFirstThunk ) pThunk = (PIMAGE_THUNK_DATA)( dwBaseImage + pIID->OriginalFirstThunk ) ; else pThunk = pIAT ; 这几句代码。 if ( ( dwThunkValue & IMAGE_ORDINAL_FLAG32 ) == 0 ) 这句条件判断也就是判断每个 _IMAGE_THUNK_DATA 结构最高二进制位和1进行与运算, 如果结果等于0,那最高位是0,说明导入表是以函数名称方式导入的, 如果结果等于1则表示以序号的方式导入,这里是iat hook, 故判断等于0, 如果 if ( ( dwThunkValue & IMAGE_ORDINAL_FLAG32 ) == 0 ) 这句不太理解, 可以这么写或许更容易懂: if( IMAGE_SNAP_BY_ORDINAL32( pThunk->u1.Ordinal ) ) 希望对大家有帮助!
|
|
|
|
|
|
 不用谢!
|
|
|
|
