PE文件结构 - 导入表结构

最近在复习PE文件结构，被导入表绕了一把，于是又仔细的分解了一把，整理下思路。

至于导入表的解析，这个很简单，我们要学的是把架构理解清楚，明白文件和内存镜像的区别。

首先我们来看一张图：

 

 

这是在文件中导入表的结构，IMAGE_DIRECTORY_ENTRY_IMPORT 中的 OriginalFirstThunk 指向一个INT表，而FirstThunk指向的是IAT表，IAT表中存的也是一个指向最终IMAGE_IMPORT_BY_NAME结构的RVA指针，也就是PIMAGE_THUNK_DATA。

 

下面我们来看看程序运行时的状态：

 

这个时候其他的没变，但是IAT表全部被系统替换成函数的实际地址，不再是指向IMAGE_IMPORT_BY_NAME结构。

我们来看看函数是怎么调用的：

 

call dword ptr ds:[00C8502Ch]

这个00C8502Ch是什么呢？

 

 

这个正好是IAT中的一个项，而这个项中的值已经被系统替换成 GetModuleHandleW的真实地址，call 这个直接跳到 kernel32.dll -> GetModuleHandleW 处，完成函数调用。