-
-
[求助]导入Kernel32.dll函数的THUNK_DATA数组中保存着一些ntdll.dll的函数地址
-
发表于:
2017-6-29 15:40
3362
-
[求助]导入Kernel32.dll函数的THUNK_DATA数组中保存着一些ntdll.dll的函数地址
学习脱壳,系统win10x64,壳upx3.94,把程序dump了出来修复iat的阶段,发现导入Kernel32.dll函数的THUNK_DATA数组中保存的函数地址中有一些是ntdll.dll的函数,如图
如7ffd13d47930的地址指向ntdll.dll的text段中的函数RtlAllocateHeap,我用ida看了下kernel32.dll没有直接只有个符号RtlAllocateHeap_0的函数是直接调用的,这个函数也不是导出函数。
现在这个感觉有点像函数转发器类似相关概念,不知道对应的IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA该如何写
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课