PE文件中的重复导入条目

【问题标题】:Duplicate import entries in PE filePE文件中的重复导入条目
【发布时间】:2012-08-27 15:59:10
【问题描述】:

我正在对 PE 文件进行一些批量分析,在解析 PE 文件的导入表时,我发现许多 PE 文件导入了给定 DLL 的重复条目……这是为什么呢?这在功能上提供了什么?

例如,example.exe 导入表的转储显示:

Kernel32.dll User32.dll blah.dll 内核32.dll 内核32.dll User32.dll shell32.dll

提前致谢。

【问题讨论】:

  • 您能否提供您的二进制文件的导入地址表的全部信息以便更好地弄清楚?

标签: windows executable portable-executable


【解决方案1】:

您所观察到的一切都是正确且完全正常的!看看下面的图片,它显示了Dependency Walker 在分析Process Explorer(静态)导入许多库的图像时的作用。迟早一个库会导入一个已经被其他库导入的库(例如,典型的例子是 USER32.DLL 或 NTDLL.DLL,它们几乎总是被多次导入)。

【讨论】:

    【解决方案2】:

    也许您正在分析的 PE 已被修补以导入其他功能,因为大多数二进制文件的导入地址表都非常紧凑,因此向现有模块添加条目是相当不可能的。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2013-01-19
      • 1970-01-01
      • 1970-01-01
      • 2016-10-17
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode