IMAGE_DOS_HEADER掛鉤

Question

我閱讀有關Windows掛鉤和Win32可執行程序的內部結構（https://en.wikipedia.org/wiki/Hooking#Windows），看到這個代碼塊：

PIMAGE_DOS_HEADER pImgDosHeaders = (PIMAGE_DOS_HEADER)module; 
PIMAGE_NT_HEADERS pImgNTHeaders = (PIMAGE_NT_HEADERS)((LPBYTE)pImgDosHeaders + pImgDosHeaders->e_lfanew); 
PIMAGE_IMPORT_DESCRIPTOR pImgImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((LPBYTE)pImgDosHeaders + pImgNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); 

for (IMAGE_IMPORT_DESCRIPTOR *iid = pImgImportDesc; iid->Name != NULL; iid++) 

我的C是有點生疏，我可能需要刷（指針總是讓我困惑），但我認爲這種方式的工作原理是創建一個名爲iid的IMAGE_IMPORT_DESCRIPTOR指針。 iid指向IMAGE_IMPORT_DESCRIPTOR，並設置爲等於名爲pImgImportDesc的對象。所以它看着pImgImportDesc的Name屬性，如果它沒有設置它會去下一個？所以基本上，它正在尋找最後一個？

還有任何關於書籍或視頻的建議，以查看更多關於這種真正低級別事情的信息嗎？讀代碼讓我感到困惑。

Answer 1

PIMAGE_DOS_HEADER pImgDosHeaders = (PIMAGE_DOS_HEADER)module; 

• 一個過程被在操作系統的選擇的特定內存地址加載。該進程的HMODULE實例句柄與其加載地址相同。所以這是在加載地址的開始處得到一個指向進程的IMAGE_DOS_HEADER結構體的指針。

PIMAGE_NT_HEADERS pImgNTHeaders = (PIMAGE_NT_HEADERS)((LPBYTE)pImgDosHeaders + pImgDosHeaders->e_lfanew); 

• 的e_lfanew場偏移到進程的IMAGE_NT_HEADERS結構。這是將pImgDosHeaders指定爲BYTE*指針，將其值增加e_lfanew字節，然後將結果輸入到IMAGE_NT_HEADERS*。

PIMAGE_IMPORT_DESCRIPTOR pImgImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((LPBYTE)pImgDosHeaders + pImgNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); 

• 同樣的事情上面。 DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress是進程的Imports表的第一個IMAGE_IMPORT_DESCRIPTOR結構的偏移量。 pImgDosHeaders正在增加許多字節，然後輸入到IMAGE_IMPORT_DESCRIPTOR*。

for (IMAGE_IMPORT_DESCRIPTOR *iid = pImgImportDesc; iid->Name != NULL; iid++) 

• 這是通過在整個進口表循環。 iid指向表中的第一個描述符，並且循環繼續遍歷表，直到找到一個沒有指定Name的描述符，表示表的末尾。

閱讀此MSDN文章瞭解詳情：

Peering Inside the PE: A Tour of the Win32 Portable Executable File Format