当前位置：网站首页>逆向调试入门-PE结构-输入表输出表05/07

逆向调试入门-PE结构-输入表输出表05/07

2022-07-01 12:42:00 【51CTO】

输入表

输入函数，表示被程序调用但是它的代码不在程序代码中的，而在dll中的函数。对于这些函数，磁盘上的可执行文件只是保留相关的函数信息，如函数名，dll文件名等。在程序运行前，程序是没有保存这些函数在内存中的地址。当程序运行起来时，windows加载器会把相关的dll装入内存，并且将输入函数的指令与函数真在内存中正的地址联系起来。输入表（导入表）就是用来保存这些函数的信息的。

结构体

      
      
       
       typedef struct _IMAGE_IMPORT_DESCRIPTOR {
       
       
  _ANONYMOUS_UNION union {              //00h
       
       
    DWORD Characteristics;
       
       
    DWORD OriginalFirstThunk; 
       
       
  } DUMMYUNIONNAME;
       
       
  DWORD TimeDateStamp;                  //04h
       
       
  DWORD ForwarderChain;                 //08h
       
       
  DWORD Name;                           //0Ch
       
       
  DWORD FirstThunk;                     //10h
       
       
} IMAGE_IMPORT_DESCRIPTOR,*PIMAGE_IMPORT_DESCRIPTOR;
      
      
      
      
       
       1.
       
       2.
       
       3.
       
       4.
       
       5.
       
       6.
       
       7.
       
       8.
       
       9.
       
       10.

      
      
       
       typedef struct _IMAGE_THUNK_DATA32 {
       
       
  union {
       
       
    DWORD ForwarderString;
       
       
    DWORD Function;
       
       
    DWORD Ordinal;
       
       
    DWORD AddressOfData;
       
       
  } u1;
       
       
} IMAGE_THUNK_DATA32,*PIMAGE_THUNK_DATA32;
      
      
      
      
       
       1.
       
       2.
       
       3.
       
       4.
       
       5.
       
       6.
       
       7.
       
       8.