PE заголовок,таблица импорта
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
PE заголовок,таблица импорта - 2007-09-05 02:04:59.826666
|
|
|
egugondiy
Сообщений: 34
Оценки: 0
Присоединился: 2007-07-11 09:02:59.470000
|
Вопрос по поводу РЕ, в часности по таблице импорта.
Таблица импорта начинается с массива структур IMAGE_IMPORT_DESCRIPTOR:
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
DWORD Characteristics; // 0 for terminating null import descriptor
DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
};
DWORD TimeDateStamp; // 0 if not bound,
// -1 if bound, and real date\time stamp
// in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
// O.W. date/time stamp of DLL bound to (Old BIND)
DWORD ForwarderChain; // -1 if no forwarders
DWORD Name;
DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;
Кол-во структур нигде не указывается,
но каждый эллемент массива соответствует DLL, из которой импортируются функции. Во всей доступной мне документации четко говорится, что первый эллемент последнего члена массива нулевой. Так оно и есть, но в некоторых модулях(по моим наблюдениям это приложения собраные линкерами фирмы Борланд), во всех членах массива первый эллемент нулевой. Вопрос собственно в следующем: как загрузчик определяет какая структура
последняя в массиве.
|
|
|
|
|
RE: PE заголовок,таблица импорта - 2007-09-05 03:27:58.203333
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
Может лучше про хакерские команды поговорим?8|
|
|
|
|
|
RE: PE заголовок,таблица импорта - 2007-09-05 09:08:07.030000
|
|
|
egugondiy
Сообщений: 34
Оценки: 0
Присоединился: 2007-07-11 09:02:59.470000
|
Блин, ошибочка вышла. Вместо "Программирование>>Прочее" залез во "Взлом>>Прочее". Прошу прощения.
Модераторы! Аууууу! Переместите топ пожалуйста.
|
|
|
|
|
RE: PE заголовок,таблица импорта - 2007-09-05 12:18:41.073333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
quote:
что первый эллемент последнего члена массива нулевой.
Спилберг? Нипанятна!
Прочёсывай массив, пока не наткнёшься на IMAGE_IMPORT_DESCRIPTOR полностью забитый нулями, это и будет конец
–
Или ты про то, что попадаются файлы с 0 в OriginalFirstThunk?
|
|
|
|
|
RE: PE заголовок,таблица импорта - 2007-09-05 13:24:37.020000
|
|
|
egugondiy
Сообщений: 34
Оценки: 0
Присоединился: 2007-07-11 09:02:59.470000
|
Уже разобрался. У борландовских компановщиков такой косяк. OriginalFirstThunk у них всегда нулевой. Надо пользовать FirstThunk. Это типо неправильно, но что поделать.
|
|
|
|
|
RE: PE заголовок,таблица импорта - 2007-09-06 12:16:55.603333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Жизнь полна несправедливостей …
|
|
|
|
|
|
