インポートアドレステーブルが正しくインポートされません。インポート名が正しくないRVAが返されます。

Question

インポート名に奇妙なRVAを与えるWin32 NTヘッダーに問題があります。ここでは私の問題与えている、関連するコードです：

//Get a pointer to the import table 
PIMAGE_IMPORT_DESCRIPTOR piidImportTableAddr; 
piidImportTableAddr = (PIMAGE_IMPORT_DESCRIPTOR)(pImgNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress + (DWORD)pMemFile); 

while(piidImportTableAddr->Name != 0) 
{ 
    //Itterate over every IMAGE_IMPORT_DESCRIPTOR structure, extracting the names of the DLLs to import 
    char* name = (char*)((DWORD)piidImportTableAddr->Name + (DWORD)pMemFile); 

    //Do nothing for now 

    piidImportTableAddr++; 
} 

しかし、piidImportTableAddr構造体のメンバーが悪いのポインタであるアドレスが含まれているが、ここではメンバーの表には、次のとおりです。

Characteristics 0x42746553 
OriginalFirstThunk 0x42746553 
TimeDateStamp 0x646f4d6b 
ForwarderChain 0x02260065 
Name 0x54746547 
FirstThunk 0x4d747865 

これらが全てです悪いRVAとメモリの場所。このメソッドでDLL名を調べるときに間違っていることがありますか？私はインポートテーブルのRVAとPEのLordに表示されているRVAを比較しています。それらは同じなので、なぜIMAGE_IMPORT_DESCRIPTORが間違っているのか分かりません。 http://pastebin.com/32MBEvWUが

Answer 1

インポートテーブルのRVAがありますが、モジュールがロードされていないため、セクションはまだ物理的な位置にあります。インポートセクションの物理オフセットは、通常、RVAとは異なります。セクションヘッダー（_IMAGE_SECTION_HEADER）を反復処理し、VirtualAddressとVirtualSizeの値を使用すると、インポートテーブルを含むセクションが見つかります。その後、そのセクションの物理アドレスをPointerToRawDataから取得します。

だから、あなたがしたい、実際のアドレスは、このようなものです：

importTableRVA - importSectionRVA + importSectionPhysicalAddress + pMemFile 

Answer 2

あなたのコードは、あなたの意志IATを意味します（メモリにロードされた）、すでに仮想化されて、モジュールのthatsのIATを、検査している印象を与える：それは全体です。ここ

は、ソースコードへのリンクですRVAは含まれていませんが、アドレスはWindowsローダーによって必要な動的オフセットに調整されています。

しかし、LordPEによって報告されたデータは疑わしいものです。バイナリモジュールが実際に有効な場合（つまり、Windowsがロードして実行できる場合）、難読化されたファイルを処理している可能性があります。バイナリが壊れているか、win32 PEファイルではありません。