PE文件格式：如何恢复导入表

简述导入表恢复的思路

以 Helllo.exe 程序为例

#1

寻找调用函数所在模块，如调用地址为 0x746E8500。遍历模块地址，确定落在哪个模块下，如图可知该函数落在了 Kernel32 的模块。

#2

寻找这个模块的导出表位置，如图计算出导出表的位置为 0x746C0000+ 0x90320 = 0x74750320

#3

根据导入表的结构体，我们知道存储 导出函数地址 的偏移位置在 0x90348 ，计算得出 VA =0x90348 + 0x746C0000 = 0x74750348

#4

0x74750348 这个地址存放的 导出函数的偏移地址。由于我们要寻找的函数地址为0x746E8500 ，偏移地址为 0x28500，在内存中寻找到存储这个值得地址为 0x7475121c。

表示的项数是 （ 0x7475121c - 0x74750348 ） / 4 = 0x35B

#5

计算得出导出表中存储 导出字符串 的位置为 VA =0x91bfc + 0x746C0000 = 0x74751BFC。在导出表中存储字符串的位置，寻找到第 0x35b 个字符串，即可得到该函数的名称。如果得到函数的名称，即可恢复导入表了。