首页
社区
课程
招聘
[求助]导入Kernel32.dll函数的THUNK_DATA数组中保存着一些ntdll.dll的函数地址
发表于: 2017-6-29 15:40 3362

[求助]导入Kernel32.dll函数的THUNK_DATA数组中保存着一些ntdll.dll的函数地址

2017-6-29 15:40
3362


学习脱壳,系统win10x64,壳upx3.94,把程序dump了出来修复iat的阶段,发现导入Kernel32.dll函数的THUNK_DATA数组中保存的函数地址中有一些是ntdll.dll的函数,如图

如7ffd13d47930的地址指向ntdll.dll的text段中的函数RtlAllocateHeap,我用ida看了下kernel32.dll没有直接只有个符号RtlAllocateHeap_0的函数是直接调用的,这个函数也不是导出函数。

现在这个感觉有点像函数转发器类似相关概念,不知道对应的IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA该如何写


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 80
活跃值: (13)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
a.dll函数将函数funca转发到b.dll的函数funcb,在获取了funcb的函数名的前提下可以去a.dll中找对应字符串,查看引用可以发现其与某个导出函数有关联,由此获得funca的函数名
2017-6-29 15:57
0
游客
登录 | 注册 方可回帖
返回
//