171006 逆向-EAT机制

1625-5 王子昂 总结《2017年10月6日》 【连续第371天总结】
A. EAT
B.
EAT是一种核心机制，使不同的应用程序可以调用库文件中提供的函数。
也就是说，要通过EAT才能求得从相应库中导出函数的起始地址。
PE文件中有一个特定结构体IMAGE_EXPORT_DIRECTORY保存着导出信息

IMAGE_EXPORT_DIRECTORY结构体

重要成员
1.NumberOfFunctions
表示实际导出函数的个数
2.NumberOfNames
表示有名字的导出函数的个数
3.AddressOfFunctions
表示导出函数地址数组
4.AddressOfNames
表示导出函数的名字字符串数组
5.AddressOfNameOrdinals
表示Oridinal地址数组

GetProcAddress过程

1.利用AddressOfNames成员找到函数名称数组；其中保存着导出函数的Names字符串；通过Strcmp字符串查找指定的函数名称，得到索引（name_index）
2.利用AddressOfNameOrdinals成员，转到ordinal数组；其中保存着导出函数的ordinal索引与实际地址索引的对应关系（通常是相同的，但是当出现无名导出函数，ordinal中无，而实际地址中有时，两个索引就不同了）；通过name_index找到对应的ordinal值
3.利用AddressOfFunctions成员，转到函数地址数组（EAT）；其中保存着函数与实际地址的关系；通过ordinal值找到地址

C. 明日计划
运行时压缩