最近在学习《逆向工程核心原理》,文中在WinXp下查看了一步一步手工查找了notepad.exe的IAT,所以我想试试能否在Win7下也完成分析,看看系统版本迭代升级之后PE header和PE body有些什么变化。
一、相关事项
(一)OS版本:Microsoft Windows 7 旗舰版 6.1.7601 Service Pack 1 Build 7601
(二)分析对象系统指导notepad.exe
(三)工具:1.x64dbg 2.peid 3.Hexeditor 4.calc.exe
二、分析过程
(一)打开notepad.exe 如下图
(二)查找IMAGE_IMPORT_DESCRIPTOR结构体的RVA
首先,我们要找到NT头包含的可选头的DateDirectory数组的DateDirectory[1].virtualAdress,因为它是IAT的IMAGE_IMPORT_DESCRIPTOR结构体的RVA,在我瞎了狗眼的情况下,终于找到了A0A0这个地址。
但A0A0是RVA,因此我们必须把它转换为RAW,此时先用peid打开notepad,查看各个节区的偏移&#x