IAT Hook的原理

（PE文件不熟悉，dll注入了，用IAT拦截了，可是具体原理还是不熟悉，收藏资料以备来日复习……

转载自：http://www.cnblogs.com/71dao/archive/2008/12/23/1360807.html）

IAT即Import Address Table 是PE（可以理解为EXE）的输入地址表，我们知道一个程序运行时可以要调用多个模块，或都说要调用许多API函数，但这些函数不一定都在EXE本身中，例如你调用Messagebox来显示一个对话框时，你只需要调用它，你并没有编写Messagebox的函数的实现过程，Messagebox的函数的实现过程实际上是在user32.dll这个库文件中，当这个程序运行时会在user32.dll中找到Messagebox并调用它。

那么具体的调入过程是怎样的呢？下面来谈谈其中的重要环节即：IMAGE_IMPORT_BY_NAME，那么IMAGE_IMPORT_BY_NAME的结构到底是什么样子的呢:？下面是引入表图

OriginalFirstThunk		IMAGE_IMPORT_BY_NAME		FirstThunk
|				|
IMAGE_THUNK_DATA IMAGE_THUNK_DATA IMAGE_THUNK_DATA IMAGE_THUNK_DATA ... IMAGE_THUNK_DATA	---> ---> ---> ---> ---> --->	Function 1 Function 2 Function 3 Function 4 ... Function n	<--- <--- <--- <--- <--- <---	IMAGE_THUNK_DATA IMAGE_THUNK_DATA IMAGE_THUNK_DATA IMAGE_THUNK_DATA ... IMAGE_THUNK_DATA

首先不要被IMAGE_THUNK_DATA这个名字弄糊涂: 它仅是指向 IMAGE_IMPORT_BY_NAME 结构的RVA。OriginalFirstThunk 和 FirstThunk 所指向的这两个数组大小取决于PE文件从DLL中引入函数的数目。比如，如果PE文件从kernel32.dll中引入10个函数，那么IMAGE_IMPORT_DESCRIPTOR 结构的 Name1域包含指向字符串"kernel32.dll"的RVA，同时每个IMAGE_THUNK_DATA 数组有10个元素。为什么我们需要两个完全相同的数组? 为了回答该问题，我们需要了解当PE文件被装载到内存时，PE装载器将查找IMAGE_THUNK_DATA 和 IMAGE_IMPORT_BY_NAME 这些结构数组，以此决定引入函数的地址。然后用引入函数真实地址来替代由FirstThunk指向的 IMAGE_THUNK_DATA 数组里的元素值。因此当PE文件准备执行时，上图已转换成:

OriginalFirstThunk		IMAGE_IMPORT_BY_NAME		FirstThunk
|				|
IMAGE_THUNK_DATA IMAGE_THUNK_DATA IMAGE_THUNK_DATA IMAGE_THUNK_DATA ... IMAGE_THUNK_DATA	---> ---> ---> ---> ---> --->	Function 1 Function 2 Function 3 Function 4 ... Function n		Address of Function 1 Address of Function 2 Address of Function 3 Address of Function 4 ... Address of Function n

我们现在要做的是把后面的地址改成我们自己的函数地址，例如当EXE调用Messagebox时让它转入我们的函数，我们处理完后再转入真正的函数地址。
因此API HOOK和其它HOOK存在本质的区别，可以理解为API劫持