-
-
[旧帖] [求助]IAT与INT(输入表)的问题 0.00雪花
-
发表于: 2009-3-23 15:39
-
IID的OrignalFirstThunk和FirstThunk 分别是2个指向输入名表(INT)和输入地址表(IAT)的2个地址指针
在学习PE的时候,发现有些EXE查看得到的结果是INT,和IAT指向的地址相同,有些则不同,这是什么原因?
还有如果不同的情况下,那么查询输入函数也能通过指向INT的地址来查吗?
比如有一个EXE,通过16进制文本编辑器加载,后来找其中USER32.DLL的输入函数,其中
OrignalFirstThunk=208C,FirstThunk=2010,其中RVA=文件偏移地址
我用OrignalFirstThunk找到了,第一个是LOADICON,但不知道这个我正查找的USER32.DLL输入函数是在哪里结束的,书上说是以一串00结尾的
还有按理解是PE装载器首先搜寻OrignalFirstThunk,如果找到,就遍历IMAGE_THUNK_DATA数组中指向IMAGE_IMPORT_BY_NAME的指针,找到每个
IMAGE_IMPORT_BY_NAME指向的输入函数地址,然后来更新到FirstThunk指向的IMAGE_THUNK_DATA里的元素值,按这样理解,那么就应该
OrignalFirstThunk和FirstThunk指向的IMAGE_THUNK_DATA的值始终是一样的,那怎么还会存在不一样的情景呢?
在学习PE的时候,发现有些EXE查看得到的结果是INT,和IAT指向的地址相同,有些则不同,这是什么原因?
还有如果不同的情况下,那么查询输入函数也能通过指向INT的地址来查吗?
比如有一个EXE,通过16进制文本编辑器加载,后来找其中USER32.DLL的输入函数,其中
OrignalFirstThunk=208C,FirstThunk=2010,其中RVA=文件偏移地址
我用OrignalFirstThunk找到了,第一个是LOADICON,但不知道这个我正查找的USER32.DLL输入函数是在哪里结束的,书上说是以一串00结尾的
还有按理解是PE装载器首先搜寻OrignalFirstThunk,如果找到,就遍历IMAGE_THUNK_DATA数组中指向IMAGE_IMPORT_BY_NAME的指针,找到每个
IMAGE_IMPORT_BY_NAME指向的输入函数地址,然后来更新到FirstThunk指向的IMAGE_THUNK_DATA里的元素值,按这样理解,那么就应该
OrignalFirstThunk和FirstThunk指向的IMAGE_THUNK_DATA的值始终是一样的,那怎么还会存在不一样的情景呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
