|
正在研究 PE 文件的格式,但是对导入表的结构和用法不太明白。
已经能够从PE文件分析出导入表中的,但是不知道怎么解析系统创建的
调转表和调转地址。
我的代码里调用一个系统函数的时候,反汇编(ARM芯片)得到
;处理参数等
0001287C EB000330 bl 00013544
00012880 E58D0228 str r0, [sp, #0x228]
不太明白这里的这个立即数 00013544 是从哪儿得到的。
从 bl 调转到 0x00013544 之后的代码是:
00013544 E59FC000 ldr r12, [pc]
00013548 E59CF000 ldr pc, [r12] ; 进入真正的系统函数
0001354C 000150FC streqd r5, [r1], -r12
00013550 000138C8 andeq r3, r1, r8, asr #17
00013554 000149AC andeq r4, r1, r12, lsr #19
想知道怎么能够根据PE文件就得到这个调转表的地址,还有怎么解析得到系统函数
被加载后的真实地址。
现在这方面的表达能力很苍白,说的糊里糊涂的,呵呵。
谢谢帮忙
|
|