压缩与脱壳-PE文件格式 四

现在我们准备遍历 IMAGE_THUNK_DATAs 数组以查找该 DLL 引入的函数名，直到遇上全 0 项。

第一件事是校验 IMAGE_THUNK_DATA 是否含有 IMAGE_ORDINAL_FLAG32 标记。检查 IMAGE_THUNK_DATA 的 MSB 是否为 1 ，如果是 1 ，则函数是通过序数引出的，所以不需要更进一步处理了。直接从 IMAGE_THUNK_DATA 提取低字节获得序数，然后是下一个 IMAGE_THUNK_DATA 双字。

如果 IMAGE_THUNK_DATA 的 MSB 是 0 ，那么它包含了 IMAGE_IMPORT_BY_NAME 结构的 RVA 。需要先转换为虚拟地址。

Hint 是字类型，所以先转换为双字后再传递给 wsprintf ，然后我们将 hint 和函数名都显示到编辑控件中。

在仅用序数引出函数的情况中，先清空高字再显示序数。

在编辑控件中插入相应的函数名 / 序数后，跳转到下个 IMAGE_THUNK_DATA 。

处理完当前 IMAGE_THUNK_DATA 数组里的所有双字，跳转到下个 IMAGE_IMPORT_DESCRIPTOR 开始处理其他 DLLs 的引入函数了。

让我们再来讨论一下 bound import 。当 PE 装载器装入 PE 文件时，检查引入表并将相关 DLLs 映射到进程地址空间。然后象我们这样遍历 IMAGE_THUNK_DATA 数组并用引入函数的真实地址替换 IMAGE_THUNK_DATAs 值。这一步需要很多时间。如果程序员能事先正确预测函数地址， PE 装载器就不用每次装入 PE 文件时都去修正 IMAGE_THUNK_DATAs 值了。 Bound import 就是这种思想的产物。

为了方便实现， Microsoft 出品的类似 Visual Studio 的编译器多提供了 bind.exe 这样的工具，由它检查 PE 文件的引入表并用引入函数的真实地址替换 IMAGE_THUNK_DATA 值。当文件装入时， PE 装载器必定检查地址的有效性，如果 DLL 版本不同于 PE 文件存放的相关信息，或则 DLLs 需要重定位，那么装载器认为原先计算的地址是无效的，它必定遍历 OriginalFirstThunk 指向的数组以获取引入函数新地址。

Bound import 在本课中并非很重要，我们确省就是用到了 OriginalFirstThunk 。要了解更多信息可参见 LUEVELSMEYER 的 pe.txt 。