病毒原理与防范-PE+文件型病毒.ppt

* 第*页 00 08 0f * 第*页 引入表IMAGE_IMPORT_DESCRIPTOR 结构数组，有多少DLL就有多少该结构 00 08 0F * 第*页 引出节 PE ： EXE,DLL… 当Windows启动运行一个EXE之前，需要将该EXE需要使用的DLL都装入内存。 引出节是DLL向PE提供的导出函数信息的列表，通常这些信息包含了导出的函数名和函数的地址。 EXE文件的格式 * 第*页 * 第*页 AddressOfFunctions指向一个数组，数组的每个成员指向一个API函数的地址。既然如此，我们要获得一个API函数的地址，就必须找到该API函数在这个数组中的具体位置，也就是一个索引号。 AddressOfNames?和AddressOfNameOrdinals指向两个数组，一个是函数名字数组，一个是函数名字所对应的索引号的数组。这两个数组是一一对应的，也就是说，如果第一个数组中的第m项是我们查找的函数的名字，那么第二个数组中的第m项就是该函数的索引号。这样，我们通过在第一个数组中查找我们需要查找函数的函数名，如果查到，便记住该项在该数组中的位置，然后再到第二个数组中相同的位置就可以取出该函数在函数地址数组中的索引号。 通过函数名称查找函数地址 定位到PE文件头。 从PE文件头中的可选文件头中取出数据目录表的第一个数据目录，得到导出表的地址。 从导出表的