[PE] Import Table Frage
-
Hi,
ich untersuche gerade zum Test calc.exe
und lese die VirtualAddress auf DataDirectory[1] aus.Der Wert beträgt 51afch. Der Offset von DataDirectory beträgt 158h.
Wenn ich nun zu der Position 51c54h springe werden dort
Funktionnamen aus DLLs aufgelistet aber
nach http://win32assembly.programminghorizon.com/pe-tut6.htmlerwarte ich ein Array von folgenden Strukturen
IMAGE_IMPORT_DESCRIPTOR STRUCT
union
Characteristics dd ?
OriginalFirstThunk dd ?
ends
TimeDateStamp dd ?
ForwarderChain dd ?
Name1 dd ?
FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDSIch sehe aber nur Funktionnamen von DLLs
http://www.bilderload.com/daten/calcJDTA1.pngkann mir jemand nur einen konkreten hinweis geben?
-
Vielleicht hilft dir das hier weiter:
http://i.msdn.microsoft.com/Cc301808.PE2fig06(en-us,MSDN.10).gif
-
Danke für deine Antwort.
Der erste Link ging nicht,
dafür war der zweite Link hilfreicher
und hat mir mehr Wissen vermittelt,dennoch bleibt meine Frage offen:
Wenn das erste DWORD von DataDirectory[1] zum Anfang der Import Table zeigt,
welches ein Array von IMAGE_IMPORT_DESCRIPTOR Struct Einträgen ist,
dann müsste klar erkennbar sein, dass ein regelmäßiges Muster auftritt,
weil das IMAGE_IMPORT_DESCRIPTOR Struct 5 DWORD groß ist.Mein erstes DWORD von DataDirectory[1] zeigt genau dort hin:
http://www.bilderload.com/daten/calc6OA3U.pngDanke für die Hilfe bisher.
mfg,
broll
.gif){kind=link}
