[第48课]手工重建输入表

                           48. 手工重建输入表

讲师：小鱼

  
    当调用来自其他DLL的函数时候，这些函数称为输入函数。当PE文件被装入时，windows 加载器会定位所有的输入函数和数据，并且修正IAT地址表(此表存放所有引入函数的地址表)。这个过程通过我们的输入表来完成。


输入表结构

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

    union {

        DWORD   Characteristics;

        DWORD   OriginalFirstThunk;                //指向输入名称表的RVA 地址。

    };

    DWORD   TimeDateStamp;        //32位时间标志

    DWORD   ForwarderChain;   // 一般为0 没什么用

    DWORD   Name;                //指向引入的dll名称的RVA

    DWORD   FirstThunk;        //指向输入地址表(iat)的RVA地址

} IMAGE_IMPORT_DESCRIPTOR;

引入几个DLL就有几个这样的_IMAGE_IMPORT_DESCRIPTOR 结构。(简称IID)

OriginalFirstThunk和FirstThunk指向的数组一般指向相同的结构。

                                


IMAGE_IMPORT_DESCRIPTOR                                      IMAGE_IMPORT_BY_NAME

+--------------------+   +--> +------------------+     +----------------------+
                                 INT
| OriginalFirstThunk | --+    | IMAGE_THUNK_DATA | --> | 023B |  ExitProcess   | <--+ |
                                                                                                                                                      |
                                 IAT                                                                                                                                |
|FirstThunk| ------------     | IMAGE_THUNK_DATA |  ---------


叙述下输入表构建过程。
        
      1. 编译器编译我们的源代码，这时候会产生一个obj文件，obj文件包含了我们调用这些函数的公共符号。链接器在链接的时会从导入库中读取与公共符号相匹配的函数名，然后构建输入表结构，并修正相关调用绑定地址。

        而输入表结构呢，我们的PE头结构的数据目录段结构第二个成员指向的则为输入表结构，所以一般我们移动输入表一定要修改其数据目录段所指向的偏移和大小。

  
附带一个下载者例程，自己可以C32打开修改其下载地址然后做测试。。 很简单，不懂的论坛提问，不过我基本都讲过吧...???。。



此课程没有做的很完美，中途停了两次，抱歉。。   由于中途接了两个电话，哎，编辑部没法做课程。真郁闷