-
-
[求助]关于脱壳的INT表和IAT表的问题请教
-
发表于:
2022-3-11 22:58
9485
-
大家好,想请教下大家一个问题,我自己了解的操作系统加载程序的话在填充IAT表的时候是根据INT表中指向的函数名称来进行填充的,但是我发现比如UPX的壳,它压缩完可以看到INT表就是没有的,如下图所示是UPX的一个IMAGE_IMPORT_DESCRIPTOR结构
然后根据FirstThunk的字段 0x4a204跟过去如下所示,发现加载到内存中的时候,此时IAT表同样是可以被填充的
所以我想问下为什么没有INT表的情况下,程序还是可以正常运行的
具体的原因是什么,还是我自己理解错了,麻烦大家帮忙看下
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
最后于 2022-3-11 23:05
被zpchcbd编辑
,原因: