2

什么是Input Address TableInput Name Table显示的dumpbin /imports

Dump of file c:\windows\System32\kernel32.dll

File Type: DLL

  Section contains the following imports:

    API-MS-Win-Core-RtlSupport-L1-1-0.dll
              78DBC000 Import Address Table
              78E18D58 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

我最初的猜测是,它是RVA IMAGE_IMPORT_DESCRIPTOR.FirstThunk,但看看 IAT 的值,它看起来相当大,是一个 RVA。我也猜想,它不能是绝对地址,因为这样该值将毫无意义(因为这意味着 wrt PE 加载地址)。

用例

我正在创建一个 C++ 库来模拟 dumpbin,我目前想知道这两个值将映射到什么?

4

1 回答 1

1

我相信 dumpbin 将这两个值(FirstThunk 和 OriginalFirstThunk)显示为基于模块的首选基址(图像基址)的虚拟地址。

在此示例中,值为“来自可选标头的 ImageBase + FirstThunk/OriginalFirstThunk”。

于 2013-09-30T19:40:17.563 回答