4
Es gibt "First Thunk" (FT), das der Loader nach der Ausführung mit korrekten Adressen überschreibt.Warum PE braucht Original First Thunk (OFT)?
Aber wenn PE OFT verwendet?
Benötigt PE es sogar?
A
Antwort
6
Der ursprüngliche erste Thunk wird benötigt, wenn die Importe gebunden sind, die importierte .DLL jedoch nicht übereinstimmt.
Auf einer neuen ungepatchten Version von Windows sind alle Adressen aller Funktionen in der Basis .DLLs (ntdll, kernel32, user32 usw.) bekannt. Nehmen wir Shell32 zum Beispiel, es verbindet sich mit kernel32!CreateProcess und die wahre Adresse CreateProcess kann direkt in Shell32 gespeichert werden. Dies nennt man import binding und lässt den Lader den Schritt überspringen, in dem er alle Adressen der importierten Funktionen nachschlägt.
Dies funktioniert nicht, wenn die importierte .DLL nicht an ihrer bevorzugten Adresse geladen wurde oder wenn sich die .DLL geändert hat (Sicherheitsupdate usw.). Wenn dies geschieht, muss der Lader die Funktionen "den normalen Weg" nachschlagen, und das ursprüngliche erste Thunk-Array muss verwendet werden, da nur dort die RVA s der Funktionsnamen gespeichert sind.
Wenn die Importbindung nicht verwendet wird, ist das ursprüngliche erste Thunk-Array optional und möglicherweise nicht vorhanden.
ASLR hat wahrscheinlich diese Optimierung irrelevant gemacht.
Verwandte Themen
- 1. Warum Redux-Thunk verwenden?
- 2. Warum braucht mein Eclipse so oft, um Dateien zu bereinigen?
- 3. Mobil-First Media Queries nicht original CSS überschreiben
- 4. Warum braucht JSONP hier nicht?
- 5. Warum Material-Ui zu viel Platz braucht?
- 6. Warum wird "Autoreconf" nicht oft verwendet?
- 7. Warum funktioniert IEnumerable nicht? .First()?
- 8. Warum sind Standards oft geschlossen?
- 9. Warum ist onPeersAvailable oft genannt
- 10. Warum verwenden Generika oft T?
- 11. Warum wird Listbox.Drawitem oft aufgerufen?
- 12. Warum läuft% timeit unterschiedlich oft?
- 13. Warum braucht Service-Intent Explicit Intent
- 14. Warum braucht Dir.glob ("*. Txt") .sort auch .each?
- 15. Warum braucht Scala die Def-Anweisung?
- 16. mysql "Drop-Datenbank" braucht Zeit - warum?
- 17. Warum Funktionsaufruf so viel Zeit braucht?
- 18. warum arraylist klar zu temporery sowie original?
- 19. COM_DESCRIPTOR in PE-Dateien
- 20. Windows PE Ressourcen
- 21. Redux Thunk/Eslint erro
- 22. Warum verhält sich first() nicht zuerst?
- 23. Warum .first() wird hier nicht funktionieren?
- 24. Warum verwendet EF DataBase First nicht getdate()?
- 25. Warum Code-First Migration nicht richtig funktioniert?
- 26. Redux thunk in reagieren nativen
- 27. Warum brauchen wir Redux-Thunk, wenn wir bereits mapDispatchToProps haben
- 28. Korrekte Verkettungsoperationen in Redux Thunk?
- 29. Redux-Thunk-Versand funktioniert nicht
- 30. Warum verwenden Shellskriptvergleiche oft x $ VAR = xyes?
Dies ist gut beschrieben von [Matt Pietrek's alten Artikel] (https://msdn.microsoft.com/en-us/library/ms809762.aspx). Lasst es uns nicht alle wiederholen, Matts Artikel ist das Kanonische. –