-
-
[求助]导入Kernel32.dll函数的THUNK_DATA数组中保存着一些ntdll.dll的函数地址
-
发表于: 2017-6-29 15:40
-
学习脱壳,系统win10x64,壳upx3.94,把程序dump了出来修复iat的阶段,发现导入Kernel32.dll函数的THUNK_DATA数组中保存的函数地址中有一些是ntdll.dll的函数,如图
如7ffd13d47930的地址指向ntdll.dll的text段中的函数RtlAllocateHeap,我用ida看了下kernel32.dll没有直接只有个符号RtlAllocateHeap_0的函数是直接调用的,这个函数也不是导出函数。
现在这个感觉有点像函数转发器类似相关概念,不知道对应的IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA该如何写
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
