当 IMAGE_IMPORT_DESCRIPTOR 结构用全零填充时,IMAGE_IMPORT_DESCRIPTOR 数组终止。
每个 IMAGE_IMPORT_DESCRIPTOR 结构有 2 个成员,OriginalFirstThunk 和 FirstThunk,它们包含一个 RVA 到并行的 IMAGE_THUNK_DATA 数组。
IMAGE_THUNK_DATA 数组是否会以最后填充零的 IMAGE_THUNK_DATA 结构终止?
问问题
1646 次
1 回答
1
这篇Matt Pietrek 文章包含您需要的信息:
每个 IMAGE_IMPORT_DESCRIPTOR 通常指向两个基本相同的数组。这些数组有多个名称,但最常见的两个名称是导入地址表 (IAT) 和导入名称表 (INT)。图 6 显示了从 USER32.DLL 导入一些 API 的可执行文件。
两个数组都有 IMAGE_THUNK_DATA 类型的元素,这是一个指针大小的联合。每个 IMAGE_THUNK_DATA 元素对应于从可执行文件中导入的一个函数。两个数组的末端均由值为 0 的 IMAGE_THUNK_DATA 元素指示。
于 2013-09-18T08:20:37.720 回答