-
-
[求助]导入Kernel32.dll函数的THUNK_DATA数组中保存着一些ntdll.dll的函数地址
-
发表于: 2017-6-29 15:40
-
学习脱壳,系统win10x64,壳upx3.94,把程序dump了出来修复iat的阶段,发现导入Kernel32.dll函数的THUNK_DATA数组中保存的函数地址中有一些是ntdll.dll的函数,如图
如7ffd13d47930的地址指向ntdll.dll的text段中的函数RtlAllocateHeap,我用ida看了下kernel32.dll没有直接只有个符号RtlAllocateHeap_0的函数是直接调用的,这个函数也不是导出函数。
现在这个感觉有点像函数转发器类似相关概念,不知道对应的IMAGE_IMPORT_DESCRIPTOR和IMAGE_THUNK_DATA该如何写
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
