系统安全之脱壳高级篇Import表的重建

－ C238h - C25Bh：这部分双字（DWord） 称作“IAT”，由 IMAGE_IMPORT_DESCRIPTOR结构中的 FirstThunk 部分指明。这部分每一个 DWord 对应一个输入函数。

－ C25Ch - C2DDh : 这里是输入函数和 DLL 文件的名称。问题是，这些是没有规定顺序的：有时候 DLL 文件在函数前面，有时候正好相反，另外一些时候它们混在一起。

输入表的简介

OriginalFirstThunk 是 IAT 的一部分，它是 PE 文件引导时首先要搜索的。如果存在，PE文件的引导部分将使用它来纠正在 FirstThunk IAT 部分的问题。当调入内存后，FirstThunk的每一个 Dword （包含有函数名字符串的 RVA），将被 RVA 替换为函数的真实地址（当调用这些函数时，它们调入内存的位置将被执行）。所以，只要 OriginalFirstThunk 没有被改变，基本上这里不存在输入表的问题。

下面来看我们的问题

好了，经过简单描述后，下面来看我们的问题。如果你试图运行包含上面显示的输入表的可执行文件，它不会被调入，Windows 会显示一个错误信息。为什么？很简单，因为OriginalFirstThunk 被删除了。事实上，你应该注意到，在这个输入表的每一个IMAGE_IMPORT_DESCRIPTOR 结构，OriginalFirstThunk 的内容都是 00000000h。嗯，所以我们可以推测出，当我们运行这个可执行程序时，PE 文件的引导部分试图从FirstThunk 部分获得输入函数的名字。但是，正象你注意到的，这部分根本没有包含函数名字符串的 RVA，但是函数地址的 RVA 在内存中。

我们需要怎么做

现在，为了让这个可执行文件运行，我们需要重建 FirstThunk 部分的内容，让它们指向我们在输入表第三部分看到的函数名字符串。这不是一项很困难的任务，但是，我们需要知道哪个IAT 对应哪个函数，而函数字符串和 FirstThunk 内容并不采用同样的存储方法。所以，对于每一个 IAT，我们需要验证它对应的是哪个函数名（事实上，根据 IMAGE_IMPORT_DESCRIPTOR.Name DWord 我们已经有了 DLL 名称，这些并没有被改变）。

如何验证每一个函数

正向我们上面所见到的，在内存中，每一个被破坏的 IAT 都有一个函数地址的 RVA。这些地址并没有被破坏，所以，我们只要重新找回指向错误 IAT 的函数地址，把它们指向函数名字符串。

为此，在 Kernel32.dll 中有一个非常有用的 API：GetProcAddress。它允许你得到给定函数的地址。这里是它的描述：

GetProcAddress(

HMODULE hModule, // DLL 模块的句柄
LPCSTR lpProcName // 函数名
);

所以，对于每一个被破坏的 IAT，在 GetProcAddress 返回我们寻找的函数地址之前，只需要分析包含在输入表第三部分的所有函数名。

－ hModule 参数是 DLL 模块的句柄（也就是说，模块映象在内存中的基址），我们可以通过 GetModuleHandleA API 得到：

HMODULE GetModuleHandle(
LPCTSTR lpModuleName // 返回模块名地址句柄
);

（lpModuleName 只需要指向我们从 IMAGE_IMPORT_DESCRIPTOR.Name 部分得到的 DLL 文件名字符串）

－ lpProcName 仅指向函数名字符串。

注意，有时候函数是按序号输入的。这些序号是在每个 [ 函数名偏移量-2 ] 处的单字（WORDS）。所以，你在分析程序时需要检查函数是按名称还是按序号输入的。

使用上面输入表的实例

针对上面输入表的例子，我将说明如何修复第一个输入 DLL 的第一个输入函数。

1. 我们来看第一个 IMAGE_IMPORT_DESCRIPTOR 结构部分（C1E8h），.Name 部分（C1E4h，指向C1BAh）指出了 DLL 名。我们看到，那是 USER32.dll。

2. 我们来看 .FirstThunk 部分，它们指向 IAT 部分；每个对应一个这个 DLL（user32.dll）的输入函数。在这里是 C1F8h，指向 C238h。所以，在 C238h，我们可以修复被破坏的 IATs。（你会注意到，这个 IAT 部分包含二个 DWords，所以，这个 DLL 有二个函数输入）

3. 我们得到了第一个被破坏的 IAT。它的值是 77E7897Fh。这是函数在内存中的地址。

4. 对每一个输入表第三部分中的函数，我们调用 GetProcAddress API。当该 API 返回 7E7897Fh时就意味着，我们到达了正确的函数。所以我们让被破坏的 IAT 指向正确函数名。（在本例中为 'wsprintfA'）。

5. 现在我们只需要将 IAT 指向：偏移量（函数名字符串）-2。为什么是 -2 ？因为有时候使用了函数序列。

所以在本例中，我们改变地址 C238h，让它指向 C26Ah（以代替 77E7897Fh）。

6. 就这样，这个函数被修复了，下面你只需要对所有的 IATs 重复这个过程就可以了。

后记

我描述的是一般的操作过程。当然只有在 DLLs 被正常调入内存后才能够这样做。对于其他情况，你需要将它们调入，或者你需要仔细研究它们的输出表才能找到正确的函数地址。