解密系列__PE结构详解8 提问
输入表(IMAGE_IMPORT_DESCRIPTOR)结构里面能找到OriginalFirstThunk和 FirstThunk,关于他们的值:
当 IMAGE_THUNK_DATA 值的最高位为 1时,表示函数以序号方式输入,这时候低 31位被看作一个函数序号。
当 IMAGE_THUNK_DATA 值的最高位为 0时,表示函数以字符串类型的函数名方式输入,这时双字的值是一个 RVA,指向一个 IMAGE_IMPORT_BY_NAME 结构。
我把hello放在pe Dump Full下来,得到的OriginalFirstThunk和FirstThunk分别是
OriginalFirstThunk----->00 02 A1 5C
FirstThunk ------->00 02 A2 AC
然后他们 IMAGE_THUNK_DATA 的值分别是:
00 02 A1 5C 指向的值是 00 02 A2 DC
00 02 A2 AC 指向的值是 80 03 53 77
80 03 53 77 最高位判断是把他转换为二进制 0111 0111 0101 0011 0000 0011 1000 0000 来判断嘛? 学习
页:
[1]