1

I am doing some bulk analytics on PE files, while parsing the import table of a PE file, I'm finding that many PE files import duplicate entries for a given DLL... why is this? what does this functionally provide?

For instance, a dump of example.exe import table shows:

Kernel32.dll User32.dll blah.dll Kernel32.dll Kernel32.dll User32.dll shell32.dll

Thanks in advance.

4

2 に答える 2

2

あなたが観察したことは正しく、完全に正常です!多くのライブラリを (静的に) インポートするProcess Explorerのイメージを分析する際にDependency Walkerが動作していることを示す以下のイメージを見てください。遅かれ早かれ、1 つのライブラリが、他のライブラリによって既にインポートされているライブラリをインポートします (たとえば、典型的な例は、ほとんど常に複数回インポートされる USER32.DLL または NTDLL.DLL です)。

ここに画像の説明を入力

于 2012-09-09T10:56:59.913 に答える
0

ほとんどのバイナリにはインポート アドレス テーブルがかなり詰め込まれているため、既存のモジュールにエントリを追加することはかなり不可能であるため、分析している PE に追加機能をインポートするためのパッチが適用されている可能性があります。

于 2012-08-29T12:24:28.420 に答える