如何获得跟IDA一样的API调用序列名称?
像这种直接调用IAT中已经导入好的函数怎么获得他的名字?我已经使用C# Iced 反汇编出来.text段了, 也找到Call Near了, 将其地址RvaToOffset (FOV) 后发现没有任何能与IAT对应上的地址
而 PeNet这个库 给我返回的导入函数信息是 DLLName, FunctionName, Hint, IATOffset, 请问像这种直接call导入函数的怎么和前面的那个导入函数信息对应上?
主要是想提取PE文件的API调用执行序列, 通过OEP 获得类似 Kernel32.CreateFileA 等这种api名称, 然后按照控制流自动分析下去自动按照顺序获取序列, 先不考虑动态加载
luxiaole 发表于 2024-2-7 09:51
看看PE文件结构图,是不是就能找到想要的东西了呢
IAT已经加上偏移量了, 这些call让我很疑惑的是反汇编出来的地址都是call的 .text段内部的EIP数, 没有超过.text段的, 而我这个显示IAT表在.text段后边,FOV = 90000多, .text最多不超过80000, 所以我才问为什么没有一个地址能对上的 看看PE文件结构图,是不是就能找到想要的东西了呢
页:
[1]