PE 绑定导入表

什么是绑定导入

PE在加载前 INT IAT表都指向一个名称表

但是有些程序,如果你打印该程序的IAT表的时候会指向地址中发现里面是地址

原因:我们的PE程序在加载的时候, PE中导入表中的IAT表会根据INT表来进行填写函数地址。但是这就造成了一个问题,PE程序启动慢,因为每次启动都要给IAT表填写函数地址

如果我们事先先把IAT表中的所需要用到的DLL函数地址都填好的话,是不是能够节省程序启动的时间?

答案:是的

缺点:万一需要被用到的DLL的imagebase并没有加载到符合的位置,这样就需要修复重定位表中的地址!

那么如何判断该程序是否进行了绑定导入的操作呢?

在文件中IAT表是否填写地址,依据的地方 就是 导入表中的 TimeDateStamp (时间戳)成员, 如果为0 则是这个DLL没有绑定, 如果为-1 则是这个DLL进行了绑定导入

什么是绑定导入表

上一篇:如何用cmd指令清除U盘的PE分区


下一篇:今天的两点收获:pe工具箱和反编译python