压缩与脱壳-PE文件格式 六 续

assume edi:ptr IMAGE_IMPORT_DESCRIPTOR
.while !([edi].OriginalFirstThunk==0 && [edi].TimeDateStamp==0 && [edi].ForwarderChain==0 && [edi].Name1==0 && [edi].FirstThunk==0)

edi 现在指向第一个 IMAGE_IMPORT_DESCRIPTOR 结构。接下来我们遍历整个结构数组直到遇上一个全 0 结构，这就是数组末尾了。

invoke AppendText,hDlg,addr ImportDescriptor
invoke RVAToOffset,pMapping, [edi].Name1
mov edx,eax
add edx,pMapping

我们要显示当前 IMAGE_IMPORT_DESCRIPTOR 结构的值。 Name1 不同于其他结构成员，它含有指向相关 dll 名的 RVA 。因此必须先将其转换成虚拟地址。

invoke wsprintf, addr temp, addr IDTemplate, [edi].OriginalFirstThunk,[edi].TimeDateStamp,
[edi].ForwarderChain,edx,[edi].FirstThunk invoke AppendText,hDlg,addr temp

显示当前 IMAGE_IMPORT_DESCRIPTOR 结构的值。

.if [edi].OriginalFirstThunk==0
mov esi,[edi].FirstThunk
.else
mov esi,[edi].OriginalFirstThunk
.endif

接下来准备遍历 IMAGE_THUNK_DATA 数组。通常我们会选择 OriginalFirstThunk 指向的那个数组，不过，如果某些连接器错误地将 OriginalFirstThunk 置 0 ，这可以通过检查 OriginalFirstThunk 值是否为 0 判断。这样的话，只要选择 FirstThunk 指向的数组了。

invoke RVAToOffset,pMapping,esi
add eax,pMapping
mov esi,eax

同样的， OriginalFirstThunk / FirstThunk 值是一个 RVA 。必须将其转换为虚拟地址。

invoke AppendText,hDlg,addr NameHeader
.while dword ptr [esi]!=0

　现在我们准备遍历 IMAGE_THUNK_DATAs 数组以查找该 DLL 引入的函数名，直到遇上全 0 项。

test dword ptr [esi],IMAGE_ORDINAL_FLAG32
jnz ImportByOrdinal

第一件事是校验 IMAGE_THUNK_DATA 是否含有 IMAGE_ORDINAL_FLAG32 标记。检查 IMAGE_THUNK_DATA 的 MSB 是否为 1 ，如果是 1 ，则函数是通过序数引出的，所以不需要更进一步处理了。直接从 IMAGE_THUNK_DATA 提取低字节获得序数，然后是下一个 IMAGE_THUNK_DATA 双字。

invoke RVAToOffset,pMapping,dword ptr [esi]
mov edx,eax
add edx,pMapping
assume edx:ptr IMAGE_IMPORT_BY_NAME

如果 IMAGE_THUNK_DATA 的 MSB 是 0 ，那么它包含了 IMAGE_IMPORT_BY_NAME 结构的 RVA 。需要先转换为虚拟地址。

mov cx, [edx].Hint
movzx ecx,cx
invoke wsprintf,addr temp,addr NameTemplate,ecx,addr [edx].Name1
jmp ShowTheText

Hint 是字类型，所以先转换为双字后再传递给 wsprintf ，然后我们将 hint 和函数名都显示到编辑控件中。

ImportByOrdinal:
mov edx,dword ptr [esi]
and edx,0FFFFh
invoke wsprintf,addr temp,addr OrdinalTemplate,edx

在仅用序数引出函数的情况中，先清空高字再显示序数。

ShowTheText:
invoke AppendText,hDlg,addr temp
add esi,4

在编辑控件中插入相应的函数名 / 序数后，跳转到下个 IMAGE_THUNK_DATA 。

.endw
add edi,sizeof IMAGE_IMPORT_DESCRIPTOR

处理完当前 IMAGE_THUNK_DATA 数组里的所有双字，跳转到下个 IMAGE_IMPORT_DESCRIPTOR 开始处理其他 DLLs 的引入函数了。

附录 :
让我们再来讨论一下 bound import 。当 PE 装载器装入 PE 文件时，检查引入表并将相关 DLLs 映射到进程地址空间。然后象我们这样遍历 IMAGE_THUNK_DATA 数组并用引入函数的真实地址替换 IMAGE_THUNK_DATAs 值。这一步需要很多时间。如果程序员能事先正确预测函数地址， PE 装载器就不用每次装入 PE 文件时都去修正 IMAGE_THUNK_DATAs 值了。 Bound import 就是这种思想的产物。

　　为了方便实现， Microsoft 出品的类似 Visual Studio 的编译器多提供了 bind.exe 这样的工具，由它检查 PE 文件的引入表并用引入函数的真实地址替换 IMAGE_THUNK_DATA 值。当文件装入时， PE 装载器必定检查地址的有效性，如果 DLL 版本不同于 PE 文件存放的相关信息，或则 DLLs 需要重定位，那么装载器认为原先计算的地址是无效的，它必定遍历 OriginalFirstThunk 指向的数组以获取引入函数新地址。

　　Bound import 在本课中并非很重要，我们确省就是用到了 OriginalFirstThunk 。要了解更多信息可参见 LUEVELSMEYER 的 pe.txt 。