OriginalFirstThunk/FirstThunk
是指向壹個IMAGE_THUNK_DATA數組的RVA
IMAGE_THUNK_DATA是壹個有0結束的的DWORD數組,有多少個調用API就有多少個成員
每個成員是指向IMAGE_IMPORT_BY_NAME的RVA,檢查這個RVA如果這個RVA的值與IMAGE_ORDINAL_FLAG32位與為1
則函數是通過序數引出的,所以不需要更進壹步處理了。直接從提取這個RVA的低字節獲得序數,然後是下壹個IMAGE_THUNK_DATA
雙字,如果不為1.就是通過函數名稱來引入的,IMAGE_IMPORT_BY_NAME有2個成員,
第壹個是個序號,WORD,2字節
另壹個就是函數名, 大小不固定,文本型 以0結束
通過我的講解,妳明白了嗎?