本篇博文说下PE文件中输入表的格式和具体的使用,以及在软件加壳中的注意事项(本人菜鸟),高手飘过
IMAGE_IMPORT_DESCRIPTOR STRUC
{
union
Characteristics DWORD
OriginalFirstThunk DWORD
ends
TimeDateStamp DWORD
ForwardChain DWORD
Name DWORD //指向输入Dll的文件名称
FirstThunk DWORD
}
这里我们只说明OriginalFirstThunk和FirstThunk两个比较重要的项,这两者的相同之处在于指向同一种数据结构
IMAGE_THUNK_DATA STRUC
{
union u1
ForwarderString DWORD
Function DWORD
Ordinal DWORD
AddressOfData DWORD
ends
}
OriginalFirstThunk指向的IMAGE_THUNK_DATA中AddressOfData是具有用处的,(虽然IMAGE_THUNK_DATA在一个时间内只有一个是有作用的但为了便于理解)
并且AddressOfData指向的是另一种数据结构
IMAGE_IMPORT_BY_NAME
{
Hint WORD
Name BYTE
},这两项都有作用,Hint表示的是本函数在其所驻留dll的输出函数的序号,Name则是指向了,输入函数的名称(其实在程序中序号要比名称更为方便,但是不便于理解)
由OriginalFirstThunk指向的IMAGE_IMPORT_BY_NAME是单独的一项,不可改写,但是由FirstThunk指向的IMAGE_THUNK_DATA却是可以改写的
他们是这样使用的PE装载器首先查找OriginalFirstThunk,如果他不为空,则加载程序,迭代搜索数组中的每个指针,找到每个IMAGE_IMPORT_BY_NAME,利用LoadLibrary和
GetProcess获取函数真正的入口地址,放在由FirstThunk指向的IMAGE_THUNK_DATA中的Function元素中即可
有些情况下函数是不能用函数名来调用的,只能使用函数序号,这时候IMAGE_THUNK_DATA的低位指示函数序号(因为在dll中输出函数序号数组元素是以字为单位的)
另外一种情况:程序的OriginalFirstThunk是0,在初始化时,则使用FirstThunk当做OriginalFirstThunk来使用,获得函数地址时,将函数的地址装入IMAGE_THUNK_DATA指
向的Function即可
PS:综上所述,函数地址都被填入了FirstThunk指向的IMAGE_THUNK_DATA指向的Function元素。这样我们在给软件加壳时,将动态获取的函数地址的存放地便都清楚了,现
在只有一个问题,如何获得所有的输入函数的个数?
1.可首先检测OriginalFirstThunk是否为0,
如果是0,则使用FirstThunk代替OriginalFirstThunk获得IMAGE_THUNK_DATA,
如果不是0,则使用OriginalFirstThunk获得IMAGE_THUNK_DATA
2.现在已经获得了IMAGE_THUNK_DATA的RVA,检测输入表函数是根据函数名还是根据函数序号
使用IMAGE_SNAP_BY_ORDINAL32(pFirstThunk->u1.Ordinal)来确定是否使用了函数序号
在清除输入表时我们一般会
1.先擦除IMage_import_descriptor指向的Name,即dll名称字符串
2.在查找每个dll中使用的输入函数时,会擦除IMAGE_THUNK_DATA指向的AddressOfData
并且擦除IMAGE_IMPORT_BY_NAME的整个数据结构
3.在外层循环,利用查找Dll加载项的指针,最后擦除IMAGE_IMPORT_DESCRIPTOR
标签:函数,THUNK,OriginalFirstThunk,IMAGE,表处理,加壳,DWORD,解析,DATA From: https://blog.51cto.com/u_15995156/6166931