c++ - dumpbin/imports显示的输入地址表和输入名称表是什么？

Input Address Table显示的Input Name Table和dumpbin /imports是什么？

Dump of file c:\windows\System32\kernel32.dll

File Type: DLL

  Section contains the following imports:

    API-MS-Win-Core-RtlSupport-L1-1-0.dll
              78DBC000 Import Address Table
              78E18D58 Import Name Table
                     0 time date stamp
                     0 Index of first forwarder reference

我最初的猜测是RVA IMAGE_IMPORT_DESCRIPTOR.FirstThunk，但是从IAT的值来看，要成为RVA看起来很大。我也猜想，它不能是绝对地址，因为这样的值将毫无意义(因为那将意味着w.r.t PE加载地址)。

用例

我正在创建一个C++库来模拟dumpbin，并且我现在想知道这两个值将映射到什么？

最佳答案

我相信dumpbin会根据模块的首选基址(图像基址)将这两个值(FirstThunk和OriginalFirstThunk)显示为虚拟地址。

在此示例中，值是“来自可选 header 的ImageBase + FirstThunk/OriginalFirstThunk”。

关于c++ - dumpbin/imports显示的输入地址表和输入名称表是什么？，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/19102089/