Сложно читать текст, и с адресами не очень понятно, но ff 25 xx xx xx xx — это jmp, т.е., скорее всего, это thunk на импорт.

Оно нужно, чтобы правильно получать указатели на фукнцию. Для обычной функции адрес, присвоенный символу и есть адрес функции, а для импорта — нет, для получения адреса нужен дополнительный дереференс. Если компилятор заранее знает, что функция — импорт, он может сделать этот дереференс сам, а если не знает, то линкеру приходится генерировать переходник.

с чего бы монтаж

в диспетчере десятки даже дум сделали

Да, вижу в коде jmp на, вроде как вот это ff25 0020 4000. (ImageBase установлен в 0x400000 как и принято)

Получается после прыжка ff25 0020 4000 оказываешься в начале .idata (а тут расположено IAT). Это очень хорошо, но дальше что?) В IAT же не код, а специальным способом закодированная инфа. Нужно как-то понять, что это не кода, а инфа и прочесть ее.

Или как это происходит?

P. S. А как можно удобнее это представлять? Я и сам, если честно, скоро запутаюсь в своих заметках

(вот если не понять, что там не код, то как objdump на скрине написал команды выйдут... )

Вторые восемь байт тоже можно сказать часть iat. iat - это массив указателей на функции из импортируемой библиотеки. Соответственно вызов такой функции должен выглядеть как косвенный "call ds:[00402000]"

Но некоторые линкеры оформляют непосредственно рядом с iat косвенный безусловный переход "jp ds:[00402000]" и тогда в основном коде вызов будет прямым "call 00402008". Вот у тебя такой вариант, поэтому следующие за iat восемь байт это эти самые косвенные безусловные переходы.

Получается в .text выполняется команда call 0x402008. По адресу 0x402008 записана команда jmp DWORD PTR ds:[0x402000]. Как она будет исполняться?

Возьмет смещение из 0x402000 (а туда загрузчик должен записать правильное смещение?) и перейдет по ds:<это вот смещение>?

Да, по ds:402000 возьмёт адрес, и перейдёт по нему.

Все правильно. В сыром pe файле 00402000 содержит rva-указатель на строку-имя импортируемой функции. Может содержать и непосредственно ее порядковый номер(ординал) в таблице экспорта соответствующей dll. Но после обработки загрузчиком 00402000 будет содержать актуальный адрес функции. Собственно в этом и заключается обработка импорта загрузчиком - пробежаться по iat, и заменить указатели на имена/ординалы актуальными адресами функций

Только учитывай,что  вот этот вот jmp может отсутствовать в других pe-файлах. Там будет сразу из .text косвенный вызов call ds:[00402000]

Мужики, у меня проблемы. Я хотел запустить на NASM'е код "Hello, world!", но мне выдало ошибку 🥺😔😭 Это ОНА!😭

Кто ответит? 😭

👍

Кому-то нравиться, кому-то нет 😔

🙈

Если что, этот хелловорлд — для линукса, а вокруг винда.

АААаааааааааа... я то думал. Спасибо🥺