什么是绑定导入
PE在加载前 INT IAT表都指向一个名称表
但是有些程序,如果你打印该程序的IAT表的时候会指向地址中发现里面是地址
原因:我们的PE程序在加载的时候, PE中导入表中的IAT表会根据INT表来进行填写函数地址。但是这就造成了一个问题,PE程序启动慢,因为每次启动都要给IAT表填写函数地址
如果我们事先先把IAT表中的所需要用到的DLL函数地址都填好的话,是不是能够节省程序启动的时间?
答案:是的
缺点:万一需要被用到的DLL的imagebase并没有加载到符合的位置,这样就需要修复重定位表中的地址!
那么如何判断该程序是否进行了绑定导入的操作呢?
在文件中IAT表是否填写地址,依据的地方 就是 导入表中的 TimeDateStamp (时间戳)成员, 如果为0 则是这个DLL没有绑定, 如果为-1 则是这个DLL进行了绑定导入