PE文件格式分析系列(文章2)
一个PE文件rdata段的分析(Win32工程Release版)(一)
在分析MFC工程调试版的PE文件时, 导入表在idata段
而这个Win32工程Release版的PE文件, 导入表在rdata段, 并且rdata段不仅包含导入表信息,
还包含了一些常量, 例如一些字符串信息等. 下面先分析idata段.
IMAGE_DIRECTORY_ENTRY_IMPORT (01 VirtualAddress:0x0000543C; Size:0x0000003C).rdata
OriginalFirstThunk Name FirstThunk Count StrName
0x00005514 0x0000552A 0x0000509C 1 USER32.dll
0x00005478 0x000057D0 0x00005000 38 KERNEL32.dll
一. 该PE文件使用了2个DLL
分别是:
1. USER32.dll
2. KERNEL32.dll
第2个段 .rdata 0x7DE(内存中实际数据大小) 0x5000(文件中位置) 0x1000(文件对齐大小)
也就是说.rdata 段在0x5000---0x6000(0x5000---0x57DE是有用数据)
Import 数据目录 RVA:543C Size:3C
IAT 数据目录 RVA:5000 Size:A4
这次与MFC工程调试版的PE文件不同, IAT放在前面
明显看到
这是KERNEL32.dll的IAT(0x26 + 1个)
00005000 | BA 56 00 00 BE 57 00 00 |
00005008 | 36 55 00 00 4A 55 00 00 |
00005010 | 5C 55 00 00 6E 55 00 00 |
省略......
00005088 | 76 57 00 00 8C 57 00