首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]IMAGE_IMPORT_DESCRIPTOR的疑问
发表于: 2008-6-28 22:47 8937

[讨论]IMAGE_IMPORT_DESCRIPTOR的疑问

Xfabonacci 活跃值
2008-6-28 22:47
8937
我们都知道,在查找引入表中的DLL和相应的API信息时,需要用IMAGE_THUNK_DATA这个结构来定位IMAGE_IMPORT_BY_NAME.但是,很多书上和网络上的文章都说IMAGE_THUNK_DATA是一个32位的地址指针,这跟它是一个结构体好像挺矛盾的。希望前辈们为我答疑解惑。

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (6)
Xfabonacci
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
怎么过了这么久还没有人来帮我解释以下呢!
2008-6-29 19:14
0
Lovingttu
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
Knowledge makes humble, ignorance makes proud.----------------------------------Do you look for free wow gold? Welcome to our WoW Gold , Our links:wow gold, wow gold, wow gold,World of warcraft Power Leveling..
2008-6-30 02:00
0
洋洋洒洒
雪    币: 249
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
4
结构里面只有一个指针
2008-6-30 03:45
0
要学会编
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
这个结构是个双字.
当双字的最高位是0时,它的值就是个RVA,指向IMAGE_IMPORT_BY_NAME.

定义成结构,是因为在不同的时候表示不同的含义,
最高位如果是1,其他位就是函数的序号.以函数序号方式导入.
最高位是0,值就是RVA.指向个IMAGE_IMPORT_BY_NAME,以函数名字符串方式导入.

具体可以参考一些比较系统讲解PE格式的书和文章.
2008-6-30 04:39
0
Xfabonacci
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
感谢“要学会编”。
这样就理解了。
2008-6-30 12:04
0
Xfabonacci
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
详细点解释应该是这样的,IMAGE_CHUNK_DATA是一个联合体:
union {
      PBYTE   ForwarderString;
      PDWORD  Function;
      DWORD  Ordinal;
      PIMAGE_IMPORT_BY_NAME  AddressOfData;
  } u1;
2008-6-30 16:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//