首页
社区
课程
招聘
[求助]关于脱壳的INT表和IAT表的问题请教
发表于: 2022-3-11 22:58 9485

[求助]关于脱壳的INT表和IAT表的问题请教

2022-3-11 22:58
9485

大家好,想请教下大家一个问题,我自己了解的操作系统加载程序的话在填充IAT表的时候是根据INT表中指向的函数名称来进行填充的,但是我发现比如UPX的壳,它压缩完可以看到INT表就是没有的,如下图所示是UPX的一个IMAGE_IMPORT_DESCRIPTOR结构

 

图片描述

 

然后根据FirstThunk的字段 0x4a204跟过去如下所示,发现加载到内存中的时候,此时IAT表同样是可以被填充的

 

图片描述

 

所以我想问下为什么没有INT表的情况下,程序还是可以正常运行的

 

图片描述

 

具体的原因是什么,还是我自己理解错了,麻烦大家帮忙看下


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

最后于 2022-3-11 23:05 被zpchcbd编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 168
活跃值: (823)
能力值: ( LV10,RANK:173 )
在线值:
发帖
回帖
粉丝
2
PE加载器会先根据OriginalFirstThunk去找,如果OriginalFirstThunk为NULL,那么就会根据FirstThunk去找,这个是有的。
2022-3-11 23:31
0
雪    币: 14
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
kaoyange PE加载器会先根据OriginalFirstThunk去找,如果OriginalFirstThunk为NULL,那么就会根据FirstThunk去找,这个是有的。
好的 感谢
2022-3-12 16:47
0
游客
登录 | 注册 方可回帖
返回
//