Jirairya

PE之EAT


Windows操作系统中,“库”是为了方便其他程序调用而集中包含相关函数的文件(DLL/SYS)。 Win32API是最具有代表性的库,其中的kernel32.dll文件被称为最核心的库文件。 EAT是一种核心机制,它使不同的应用程序可以调用库文件中提供的函数。也就是说,只有通过EAT才能准确求得从相应库中导出函数的起始地址。

PE文件内的特定结构体(IMAGE_EXPORT_DIRECTORY)保存着导出信息,且PE文件中仅有一个用来说明库的EAT的IMAGE_EXPORT_DIRECTORY结构体。

用来说明EAT的IMAGE_EXPORT_DIRECTORY结构体以数组形式存在,且拥有多个成员。也是因为这样PE文件可以同时导入多个库。


上一篇 Tureverseme1

下一篇 PE之IAT

Comments

Content