加载器如何找到 dll 中导出函数的准确位置？

Question

我在 PEView 中打开一个二进制文件。二进制文件的 .rdata 部分下有一个名为“导入名称表”的表。该表显示了从不同 DLL 导入的函数，但该表中有一个名为 DATA 的字段。该字段具有以下值，您可以在照片中看到它们。例如，GetCurrentProcessID 为 2596。

从Windbg角度查看上述信息：

但是当我们的二进制文件完全加载到内存中时，这个值 (2596) 会随着另一个 VA 的变化而变化您可以在下面的照片中看到。

但是，我根本不明白这个值是什么？以及加载程序如何使用提示值来查找 DLL 中导出函数的确切位置？有人可以实际地逐步解释这一点吗（例如，在windbg中？）。

Answer 1

PE 文件包含两个导入列表：查找表和地址表 (IAT)。这些的 RVA 位于 IMAGE_IMPORT_DESCRIPTOR 中。从技术上讲，我相信只允许有一个表，如果我没记错的话，旧的 Borland 工具可能会这样做。导入不能仅与一张表绑定。

查找表条目是指针大小的值，其中包含指向前向的序号或 RVA 或指向提示和函数名称的 RVA。 IAT 条目包含相同的值，或者如果绑定，则为实际地址。

当 PE 文件被加载时，加载器将 IAT 中的条目替换为导入函数的真实地址。另一个表没有改变。

加载器有 4 种解析导入函数地址的方法：

1. 如果导入已绑定、时间戳匹配并且导入的库加载到其首选地址，则加载器无需执行任何工作即可完成。这意味着，在编译时使用 .lib 文件中的地址填充的 IAT 与运行时加载的导入库完美匹配。
2. 如果按序号导入，可以直接找到地址，无需搜索名称。
3. 使用提示。如果提示与导出匹配，它将使用此快捷方式而不搜索名称。该提示只是查看导出名称表中特定槽的一种方法。如果提示不匹配，则继续执行步骤 4。
4. 搜索导出的名称表以查找函数索引。名称表已排序，因此加载程序可以执行二分搜索。

当您看到像 call DWORD PTR [_imp_Xyz] 这样的反汇编时，您正在查看调用导入函数的代码，并且实际地址是从 IAT 读取的。