LoginSignup
5
5

More than 5 years have passed since last update.

@nyamage

Windbgを用いたIAT(Import Address Table)のダンプ

Last updated at Posted at 2014-02-26

1. プロセスにデバッガをアタッチする

試してないですが、ダンプファイルの解析でも出来るんじゃないかな?
ダンプファイルの場合は次のステップからやってみてください。

2. IATの中身を見たいモジュールの先頭アドレスを探す

0:001> lm

3. PEヘッダーの中身を確認

0:001> !dh <start address> -f
  • IATテーブルの相対アドレスとサイズが出力結果から確認できるはず

4. IATテーブルの中身を出力(可能なら限りシンボルを解決させながら)

0:001> dps <start address+IATテーブルの相対アドレス> <start address+IATテーブルの相対アドレス+IATテーブルのサイズ>

IATの中身がシンボル付きで出てくるはず。
IATテーブルが書き換えられてAPI呼び出しがフックされているような場合はIATテーブルの中身が普段と異なる値になってると思う。

参考URL

5
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
5