本文共 761 字，大约阅读时间需要 2 分钟。

导入表的位置：在PE文件的PE文件头

导入表通常位于 .idata 段

     导入函数（Import functions ）就是被程序调用但其执行代码又不在程序中的函数

     函数的代码位于一个或者多个DLL中

     动态链接 ——当PE文件被装入内存的时候，Windows装载器才将DLL装入，并将调用导入函数的指令和函数实际所处的地址联系起来

     导入表中保存的正是函数名和其驻留的DLL名等动态链接所必需的信息 

导入表中函数可以通过序号访问

导出函数已字母开头查找

导入表——获取导入表的位置

IMAGE_OPTIONAL_HEADER32结构

DataDirectory字段

第2个IMAGE_DATA_DIRECTORY结构

VirtualAddress字段 

IMAGE_IMPORT_DESCRIPTOR

IMAGE_IMPORT_DESCRIPTOR STRUCT

    union

        Characteristics       dd   ?

        OriginalFirstThunk dd   ?

    ends

    TimeDateStamp          dd   ?

    ForwarderChain         dd   ?

    Name1                         dd   ?

    FirstThunk                  dd   ?

IMAGE_IMPORT_DESCRIPTOR ENDS

IMAGE_THUNK_DATA STRUCT

    union u1

        ForwarderString dd     ?

        Function             dd      ?

        Ordinal                dd  ?

        AddressOfData  dd  ?

    ends

IMAGE_THUNK_DATA ENDS

IMAGE_IMPORT_BY_NAME STRUCT

    Hint         dw      ?

    Name1    db      ?

IMAGE_IMPORT_BY_NAME ENDS

两个IMAGE_THUNK_DATA STRUCT一样吗？

转载地址：http://ipumf.baihongyu.com/