导入表内注入代码（一）

导入表内注入代码（一）2010-11-02小刀人（包括：itview.zip （87.1 KB） pemaker6.zip （96.6 KB） pemaker7.zip （193 KB）zimport.zip （130 KB）。译注：本文代码可在VS2003及WINDOWSXP＋sp2下正常运行，Windows2000下ITview功能有异常。）

本文介绍注入代码到PE（Portable Executable可移植的执行体）文件格式的Import Table（导入表，也有译为“引入表”）技术，其也被称为API重定向技术（API redirection technique）。

让我们想像一下：如果我们可以通过操作导入表thunks将导入函数的入口点（thoroughfare）重定向到我们的指定的例程，用我们的例程过滤导入（消息）就成为可能。此外，我们可以通过这个功能实现安排给我们适当的例程，专业的Portable Executable （PE） Protectors正是这么来做的，另外一些种类的rootkits使用这个方法通过一个特洛伊木马嵌入其恶意代码到受害者。在反向工程世界里，我们称之为：API重定向技术，然而我不准备通过源代码描述这个领域的所有观点，本文只是通过一个简单代码介绍一下这个技术的概况。我将描述这个源代码中没有的其他一些问题；我不能公开这些代码，原因是其关系到一些商业项目或可能会被怀有恶意者利用，然而我想本文可以被用来作为一个关于该主题的入门。

1.进入导入表

PE文件格式包括：MS-DOS header、NT headers、Sections headers和Section images（译注：正如很多技术读物上一样，其实header可以译为“头”，image可译为“映像”，但本文正文在不影响理解的前提下尽量保留原文术语，以免误解。）正如你在图 1中所看到的。MS-DOS header是自DOS时代到Windows时代在所有微软可执行文件格式（executable file format）公有的。NT headers的思想来源于UNIX系统的Executable and Linkable Format （ELF），当然Portable Executable （PE）格式是Linux Executable and Linkable Format （ELF）的姐妹。PE 格式包括"PE" Signature、Common Object File Format （COFF） header、Portable Executable Optimal header和Section headers。

图1 - Portable Executable 文件格式结构

NT headers的定义可以在Virtual C++ included 目录下 <winnt.h>头文件中找到。该信息可以非常容易地通过使用DbgHelp.dll的ImageNtHeader（）函数获得。你也可以使用DOS header来获取NT headers，因为DOS header的末尾位置：e_lfanew,代表NT headers的偏移。（译注：将这个偏移加到内存映射文件的基址上就得到了PE header 的地址：pNTHeader=dosHeader+ dosHeader->e_lfanew;）

typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER OptionalHeader;
} IMAGE_NT_HEADERS, *PIMAGE_NT_HEADERS;