windows的IAT表

Windows操作系统中的IAT表（Import Address Table，导入地址表）是用于动态链接库（DLL）的函数导入和调用的重要数据结构之一。它存储了DLL中需要被调用的函数的地址，使得在程序运行时可以动态地解析和调用这些函数。

IAT表位于每个可执行文件（如EXE文件）和每个DLL模块的映像文件中。当可执行文件或DLL被加载到进程的内存空间时，操作系统会将IAT表中的函数地址填充为实际的函数地址。这个过程称为动态链接或动态导入。

IAT表的结构是一个函数地址指针数组，每个指针指向一个导入函数的地址。当程序需要调用某个导入函数时，它会通过IAT表中的函数地址进行调用，而不需要直接知道导入函数的地址。

通常，IAT表是由编译器和链接器自动生成和维护的，开发者无需手动操作。在编译和链接过程中，编译器会根据函数的引用生成相应的IAT表项，并将其添加到可执行文件或DLL中。而在程序运行时，操作系统会负责填充IAT表中的函数地址。

通过使用IAT表，Windows操作系统实现了动态链接的机制，使得程序可以方便地调用其他模块提供的函数，提高了代码的复用性和灵活性。同时，IAT表也是一种重要的逆向工程技术，在恶意软件分析和防御中有着重要的作用。

相关问题

壳的iat表加密代码

IAT表加密是一种常见的壳技术，可以有效防止程序被静态调试或动态调试。下面是一个简单的IAT表加密示例：

// 定义一个函数指针类型
typedef int (*PFunc)(int, int);

int main()
{
    // 获取指向MessageBox函数的指针
    PFunc pMessageBox = (PFunc)GetProcAddress(GetModuleHandle(L"user32.dll"), "MessageBoxW");
    
    // 执行IAT表加密
    DWORD oldProtect;
    VirtualProtect(&pMessageBox, sizeof(PFunc), PAGE_READWRITE, &oldProtect);
    DWORD_PTR dwMessageBox = (DWORD_PTR)pMessageBox;
    DWORD_PTR dwImageBase = (DWORD_PTR)GetModuleHandle(NULL);
    DWORD_PTR dwOffset = dwMessageBox - dwImageBase;
    DWORD_PTR dwNewOffset = dwOffset ^ 0x12345678; // 加密密钥
    DWORD_PTR dwNewMessageBox = dwImageBase + dwNewOffset;
    memcpy(&pMessageBox, &dwNewMessageBox, sizeof(PFunc));
    VirtualProtect(&pMessageBox, sizeof(PFunc), oldProtect, &oldProtect);

    // 调用加密后的MessageBox函数
    pMessageBox(NULL, L"Hello, world!", L"Title", MB_OK);

    return 0;
}

以上代码中，我们首先使用 GetProcAddress 函数获取指向 MessageBox 函数的指针，然后执行 IAT 表加密。具体来说，我们首先将指针所指向的内存区域修改为可读写的，然后计算 MessageBox 函数在内存中的偏移量，再对该偏移量进行异或运算（使用密钥 0x12345678），得到加密后的偏移量。最后，我们将加密后的偏移量加上模块的基地址，得到加密后的 MessageBox 函数地址，并将其写回原先的指针中。最后，我们调用加密后的 MessageBox 函数，程序就可以正常运行了。

获取IAT表中的函数地址

获取IAT表中的函数地址可以使用以下步骤：

1. 获取PE文件的基地址

2. 定位到PE文件的导入表（Import Table），获取导入表的 RVA 和 Size

3. 遍历导入表中的每一个导入描述符（Import Descriptor）

4. 对于每一个导入描述符，获取其名称表（Name Table）的 RVA 和 Size，以及导入地址表（Import Address Table，也称为IAT）的 RVA

5. 遍历导入地址表中的每一个函数地址，即可获取IAT表中的函数地址。

下面是伪代码实现：

// 获取PE文件基地址
HMODULE hModule = GetModuleHandle(NULL);

// 获取导入表
PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule;
PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hModule + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
DWORD dwImportSize = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size;

// 遍历导入表
while (pImportDesc->Name != 0)
{
    // 获取名称表和IAT表
    PIMAGE_THUNK_DATA pNameTable = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->OriginalFirstThunk);
    PIMAGE_THUNK_DATA pIat = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->FirstThunk);

    // 遍历IAT表中的每一个函数地址
    while (pNameTable->u1.AddressOfData != 0)
    {
        // 获取函数名称
        PIMAGE_IMPORT_BY_NAME pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)hModule + pNameTable->u1.AddressOfData);
        LPCSTR lpFunctionName = (LPCSTR)pImportByName->Name;

        // 获取函数地址
        FARPROC fpFunction = (FARPROC)pIat->u1.Function;

        // 处理函数地址
        // ...

        // 下一个函数
        pNameTable++;
        pIat++;
    }

    // 下一个导入描述符
    pImportDesc++;
}

注意：在遍历导入表时，需要检查导入描述符的 Name 字段是否为 0，以判断是否到达导入表的末尾。在遍历IAT表时，需要检查名称表中的 AddressOfData 字段是否为 0，以判断是否到达IAT表的末尾。