Immunity Debugger でバイナリ ファイルを逆アセンブルするときはいつでも、最初のエントリ ポイントは常に mainCRTStartup への JMP です。これで問題ありません...
しかし、それが含まれている他のジャンプのクラスターに興味があります。この部分が何と呼ばれているのか気になりました。
例えば;
003210EB E9 A00E0000 JMP Hello_Wo._onexit
003210F0 E9 7B040000 JMP Hello_Wo.NtCurrentTeb
003210F5 E9 48280000 JMP Hello_Wo._HeapFree@12 ; JMP to kernel32.HeapFree
003210FA E9 71080000 JMP Hello_Wo._RTC_SetErrorFunc
003210FF E9 6C100000 JMP Hello_Wo._invoke_watson_if_error
00321104 > E9 F7070000 JMP Hello_Wo.mainCRTStartup
00321109 E9 C8270000 JMP Hello_Wo.___crtUnhandledException ; JMP to MSVCR110.__crtUnhandledException
0032110E E9 FD080000 JMP Hello_Wo.__CxxUnhandledExceptionFilt>
00321113 E9 78090000 JMP Hello_Wo.__CxxSetUnhandledExceptionF>
00321118 E9 CB270000 JMP Hello_Wo._QueryPerformanceCounter@4 ; JMP to kernel32.QueryPerformanceCounter
これが何と呼ばれているのか知りたいので、それを読むことができます。これはインポート テーブルかもしれないと思ったので、PE ファイル構造を検索してみましたが、正確には DLL エントリではなく、とにかく PE ヘッダーのオフセットに適合しません。
それが何の一部なのかわからないので、何を検索すればよいかわかりません。ありがとうございました。