|
|
马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
输入表(IMAGE_IMPORT_DESCRIPTOR)结构里面能找到OriginalFirstThunk和 FirstThunk,
关于他们的值:
当 IMAGE_THUNK_DATA 值的最高位为 1时,表示函数以序号方式输入,这时候低 31位被看作一个函数序号。
当 IMAGE_THUNK_DATA 值的最高位为 0时,表示函数以字符串类型的函数名方式输入,这时双字的值是一个 RVA,指向一个 IMAGE_IMPORT_BY_NAME 结构。
我把hello放在pe Dump Full下来,得到的OriginalFirstThunk和FirstThunk分别是
OriginalFirstThunk----->00 02 A1 5C
FirstThunk ------->00 02 A2 AC
然后他们 IMAGE_THUNK_DATA 的值分别是:
00 02 A1 5C 指向的值是 00 02 A2 DC
00 02 A2 AC 指向的值是 80 03 53 77
80 03 53 77 最高位判断是把他转换为二进制 ‭0111 0111 0101 0011 0000 0011 1000 0000‬ 来判断嘛?
|
|
( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)
狗仔卡
发表于 2019-7-26 23:04:11
置顶卡
千斤顶
显身卡