我一直试图弄清楚这几个小时,但我似乎无法得到它 . 我一直在尝试在Microsoft文档中查找信息,但是我被大量信息所淹没 . 我的问题是:如何在PE32文件中找到 Import Section 的偏移量?我在磁盘上没有't mean when the the file is loaded into memory, I mean when it' . 我应该看看 Object Table ?另一个问题,对象表是否勾勒出紧随其后的部分?
感谢您的时间 .
自从我在PE文件中挖掘以来已经有一段时间了,但是 . . .
如果我正确读取documentation,则节表紧跟在 Headers 之后 . 您可以通过计算 Headers 的大小直接定位到节表 .
每个节表条目长度为40个字节(参见文档的第25页) . 第一个字段是一个8字节的名称 . 我假设您可以从中获取导入部分名称 . 在记录中的偏移量20处是指向原始数据的指针 . 这被描述为“指向COFF文件中该部分的第一页的文件指针” . 偏移量16处的字段给出了大小 .
因此,您应该能够定位到节表,然后按顺序读取每个节 Headers 以查找导入地址表,然后获取指向原始数据的指针 .
看看PeDump . 使用此工具(提供源代码),您可以看到它是如何工作的 .
2 回答
自从我在PE文件中挖掘以来已经有一段时间了,但是 . . .
如果我正确读取documentation,则节表紧跟在 Headers 之后 . 您可以通过计算 Headers 的大小直接定位到节表 .
每个节表条目长度为40个字节(参见文档的第25页) . 第一个字段是一个8字节的名称 . 我假设您可以从中获取导入部分名称 . 在记录中的偏移量20处是指向原始数据的指针 . 这被描述为“指向COFF文件中该部分的第一页的文件指针” . 偏移量16处的字段给出了大小 .
因此,您应该能够定位到节表,然后按顺序读取每个节 Headers 以查找导入地址表,然后获取指向原始数据的指针 .
看看PeDump . 使用此工具(提供源代码),您可以看到它是如何工作的 .