PE文件（十五）绑定导入表

我们在分析Windows自带的一些程序时，常常发现有的程序，如notepad，他的IAT表在文件加载内存前已经完成绑定，存储了函数的地址。这样做可以使得程序是无需修改IAT表而直接启动，这时程序启动速度变快。但这种方式只适用于dll按照预先设定ImageBase装载而不重分配的情况

当dll没有按照预先设定的ImageBase进行装载，IAT表在文件加载内存前进行绑定就会出现问题了

为了判断一个程序的IAT是否在加载内存前就已经进行了绑定，PE的导入表中提供了TimeDateStamp时间戳成员变量：当该值为0时，表示该导入表对应的IAT表在加载内存前尚未绑定。当该值为-1时，表示该导入表对应的IAT表加载内存前已经绑定。而真正绑定的时间存储在绑定导入表中

绑定导入表

绑定导入表：用于存储已经绑定（即完成绑定导入）的外部函数的信息。一个绑定导入表对应一个dll，通常存在于Windows操作系统自带的程序中，但在win10以后操作系统中，其自带的程序已经很少有绑定导入表了，逐渐被弃用

定位

通过数据目录的第12个结构我们便可以定位到绑定导入表地址：

当有绑定导入表时，其起始地址是在节表后面，因此在新增节的时候，节表后面的数据不建议更改

结构

绑定导入表的结构如下：

struct _IMAGE_BOUND_IMPORT_DESCRIPTOR{						DWORD TimeDateStamp; 			WORD OffsetModuleName;	WORD NumberOfModuleForwarderRefs;  		
};  

DWORD TimeDateStamp：时间戳，表示IAT表绑定的真正时间

操作系统通过程序使用到的DLL对应的绑定导入表结构中TimeDateStamp和该DLL的可选PE头中的TimeDateStamp进行对比判断dll在绑定IAT表以后是否发生修改：

如果两个时间戳一样：DLL的创建时间和把DLL中的函数绝对地址绑定到IAT表的时间是一样，表明在绑定IAT表以后，DLL没有更新或者修改。

如果两个时间戳不一样：DLL在创建以后被更新或者修改了，此时绑定到IAT表中的函数地址可能出现错误。这是由于DLL中的函数地址可能变了，但绑定到IAT中的数据可能是以前的函数地址

WORD OffsetModuleName：该值加上所有绑定导入表中的第一个绑定导入表的RVA表示该绑定导入表对应的DLL的名称的RVA

WORD NumberOfModuleForwarderRefs：一个dll可能依赖于其他的dll，该值表示该dll依赖的其他的dll的数量。有多少dll，绑定导入表后就紧跟着多少_IMAGE_BOUND_FORWARDER_REF结构

_IMAGE_BOUND_FORWARDER_REF结构如下：

struct _IMAGE_BOUND_FORWARDER_REF {			DWORD TimeDateStamp;  //时间戳		WORD OffsetModuleName;  //对应DLL的名字WORD Reserved;  //保留（未使用）	
};

 TimeDataStamp：和绑定导入表结构中的TimeDateStamp含义和用途是一样的

OffsetModuleName：和绑定导入表结构中的OffsetModuleName含义和用途是一样的

Reserved：保留字段（未使用），没有任何含义

绑定导入表的文件分布如下：

当有sizeof(_IMAGE_BOUND_IMPORT_DESCRIPTOR)个0，表示绑定导入表结束