-
-
[求助]能否从程序自身的内存中分析Import Table信息?
-
发表于: 2010-6-18 22:19
-
从文件读入再分析Import table中的DLL和Import的各个函数大家都会,我想分析正在运行的本进程到底Import了什么DLL和函数,就没必要再从文件读入内存了吧,好像映射都差不多一样的。
我写了个程序可以顺利把exe文件映射到内存,再从此内存中分析出imort的DLL和函数,这个过程完全正常;但直接把内存指证指向getmodulehandle(0)自身的内存时,IMAGE_IMPORT_DESCRIPTOR 的各个元素值正常,IMAGE_THUNK_DATA的地址也正常,但IMAGE_THUNK_DATA各元素的值全乱了,指向程序内存以外的地址,是什么回事?
大家有没有写过类似的程序?请指点一二。
我写了个程序可以顺利把exe文件映射到内存,再从此内存中分析出imort的DLL和函数,这个过程完全正常;但直接把内存指证指向getmodulehandle(0)自身的内存时,IMAGE_IMPORT_DESCRIPTOR 的各个元素值正常,IMAGE_THUNK_DATA的地址也正常,但IMAGE_THUNK_DATA各元素的值全乱了,指向程序内存以外的地址,是什么回事?
大家有没有写过类似的程序?请指点一二。
