在讲IAT表之前,我们来回忆一下之前学习的知识:
如果我们将函数写在程序的源文件中,那么该函数就会被编译器直接编译到程序的二进制文件中,在程序调用该函数的时候,E8后跟的地址是直接写死的,程序直接在exe文件中找到函数,也被称为直接寻址,因为程序可以直接从自身的二进制文件中找到函数。但是在调用动态链接库的时候不同,我们来观察一下程序的调用过程:
我们来观察一下该程序的文件对齐和内存对齐,发现它俩对齐都为1000h。那么我们可以通过16进制编辑器直接看到ptr[004312d4]
我们可以看到,调用MessageBox函数时,汇编代码为:call dword ptr[004312d4],也就是说,程序call了一个地址(004312d4),而该地址中存储的地址,才是MessageBox函数真正的地址,我们通过VC6.0反汇编的Memory查看:
我们可以观察到:004312d4内存储的地址为76DBAAE0,很显然,这个地址不是exe文件中的地址,那么就是该exe调用的dll中的地址。
我们知道,exe在运行的时候,会有自己独立的4GB空间,exe贴到4GB空间的时候,基本上都能按照exe文件预定的位置贴上去,但是dll文件就不一样,它每次贴的位置可能都不一样,所以MessageBox函数的地址也不一样,那程序如何调用MessageBox函数呢?
我们前面了解它是通过间接寻址:这个 004312d4 指向的地址(还要根据 RVA 转 FOA,减去 Imagebase 才能在文件中找到这个位置),只是一个 MessageBox.USER32.dll 字符串。
我们把004312d4比作一个盒子,我们来模拟一下计算机在运行该exe前的过程:
1.分配独立4GB空间,将exe贴到预定位置(大多数情况,只有极少数情况exe也不能被贴到自己预订的位置)
2.将该exe调用到的dll文件贴到该4GB空间中
3.根据贴dll文件的初始位置,修正dll的重定位表
4.将exe调用的函数的地址放到这个盒子中
而这样的函数有很多,也就是这样的盒子(盒子里记录了函数贴到4GB空间时的真正地址)有很多,这些所有的盒子,就构成了IAT表(import name table,导入名称表)为什么叫导入名称表呢,原因是在exe的ImageBuffer中,每个(盒子)内存储的就是该函数名,前面也提到了:
这里如果讲解听不太懂的话,在接下来的导出表中还会有讲解,或者说读一下下一篇:导出表解析,相信大家会有更好的理解。
好了,关于IAT表的讲解就到这里,文章中可能有一些理解上有误差的地方,还请大家指出来,我会非常虚心地学习,希望大家共同进步。
