匯入表結構

學ＰＥ結構很長時間了，開始是從加密與解密的書上學到的，後來又看了一些其他的書，對ＰＥ的結構已經基本的瞭解了。但是因為很少用，所以也經常忘，尤其是匯入表與匯出表，裡面的具體結構經常混淆。

ＰＥ格式：

１。ＤＯＳ　Ｈｅａｄｅｒ

２．ＮＴ　Ｈｅａｄｅｒ

３．Ｓｅｃｔｉｏｎ　Ｔａｂｌｅ

４．Ｓｅｃｔｉｏｎ

ＤＯＳ　Ｈｅａｄｅｒ的最後一個標誌e_lfanew指示了ＮＴ　Ｈｅａｄｅｒ的位置

ＮＴ　Ｈｅａｄｅｒ結構

１．Ｓｉｇｎａｔｕｒｅ

２．Ｆｉｌｅ　Ｈｅａｄｅｒ

３．Ｏｐｔｉｏｎａｌ　Ｈｅａｄｅｒ

在Ｏｐｔｉｏｎａｌ　Ｈｅａｄｅｒ中又有三十幾項

其中最後一項是Ｄａｔａ　Ｄｉｒｅｃｔｒｙ，即資料目錄表，該項有十六項，每一項是一個ＩＭＡＧＥ＿ＤＡＴＡ＿ＤＩＲＥＣＴＯＲＹ結構

IMAGE_DATA_DIRECTORY STRUCT
  VirtualAddress dd ?
  isize dd ?
IMAGE_DATA_DIRECTORY ENDS

資料目錄表的第一項指示了匯出表，第二項指示了匯入表

在第二項的ＶｉｒｔｕａｌＡｄｄｒｅｓｓ指向了ＩＭＡＧＥ＿ＩＭＰＯＲＴ＿ＤＩＲＥＣＰＴＯＲ數組的ＲＶＡ

IMAGE_IMPORT_DESCRIPTOR STRUCT
  union
    Characteristics dd ?
    OriginalFirstThunk dd ?
  ends
  TimeDateStamp dd ?
  ForwarderChain dd ?
  Name1 dd ?
  FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDS

 其中ＯｒｉｇｉｎａｌＦｉｒｓｔＴｈｕｎｋ中儲存的是一個ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ數組的ＲＶＡ，每個ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ又指向ＩＭＡＧＥ＿ＩＭＰＯＲＴ＿ＢＹ＿ＮＡＭＥ

IMAGE_IMPORT_BY_NAME STRUCT
  Hint dw ?
  Name1 db ?
IMAGE_IMPORT_BY_NAME ENDS

Hint指示本函數在其所駐留DLL的引出表中的索引號。該域被PE裝載器用來在DLL的引出表裡快速查詢函數。該值不是必須的，一些連接器將此值設為0。
Name1含有引入函數的函數名。函數名是一個ASCIIZ字串。注意這裡雖然將Name1的大小定義成位元組，其實它是可變尺寸域，只不過我們沒有更好方法來表示結構中的可變尺寸域。

在ＩＭＡＧＥ＿ＩＭＰＯＲＴ＿ＤＩＲＥＣＰＴＯＲ結構中的ＦｉｒｓｔＴｈｕｎｋ項，與ＯｒｉｇｎａｌＦｉｒｓｔＴｈｕｎｋ類似，它也是一組ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ的ＲＶＡ，不過該項所指的內容可以改變，並且該項指示的是函數的地址（開始的時候並不指向函數地址，而是ＯｒｉｇｎａｌＦｉｒｓｔＴｈｕｎｋ所指的ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ中的值與ＦｉｒｓｔＴｈｕｎｋ所指的ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ相同，在ＰＥ裝載時，改變的，每個ＩＭＡＧＥ＿ＴＨＵＮＫ＿ＤＡＴＡ是一個函數的地址