Где можно найти спецификацию для структур данных, представляющих DLL в памяти?

Question

В частности, я хочу знать, как выглядит структура данных для раздела импорта (idata).

Answer 1

Формат файла DLL такой же, как и у файлов EXE, формат PE (переносимый исполняемый файл). Вы можете получить копию спецификации от Microsoft. Вы также можете попробовать Wotsit для получения общей информации о формате файла.

Windows предоставляет API ImageHlp для работы с исполняемыми файлами. Функция LoadImage выглядит неплохо для начала.

Вам также следует взглянуть на главу «Формат переносимых исполняемых файлов» из Недокументированная Windows NT . Кажется, описывается, как использовать ImageHlp для доступа к различным частям двоичного файла. Я думаю, что часть, которая вас больше всего интересует, находится на четвертой странице, которая описывает IMAGE_DIRECTORY_ENTRY_IMPORT часть PE-файла.

Answer 2

Кажется, я ошибся - структура файла PE в памяти выглядит идентично.

Можно использовать структуры, определенные в winnt.h для интерпретации памяти.

При взгляде на эти структуры вы должны помнить, что смещения (или 'RVA's [1]) little-endian . Вероятно, я бы не смутился, если бы просто указывал программу на соответствующую память, а не использовал отладчик.

[1] В Microsoft говорят.