IAT隐藏与混淆

简介在我们的导入表中有一些PE相关的信息，比如我们写了一个loader，里面有申请内存的操作，或者有文件读取的操作，这些函数都会在导入表中出现，为了避免蓝队分析我们的二进制文件，所以我们必须将这些函数给他隐藏掉。比如如下代码是一个APC注入的代码，里面用到了VirtualAlloc，memcpy，LoadLibraryA等函数。我们来使用dumpbin来查看一下导入表，发现里面导入了我们这些代码中相关的函数。置于其他为什么有很多我们不知道的这些函数，这些函数是编译器自己添加的。dumpbin.exe /IMPORTS ".exe"混淆的一些方式对于混淆的方式来说我们可以直接使用GetPorcAddress，GetModuleHanle，LoadLibrary这些函数来进行动态获取，这样的话我们的一些VirtualAlloc这一类的一些函数就不会出现在IAT表中了。但是需要注意的是虽然这些函数不会出现在IAT表中，但是GetProcAddress，GetMo ………………………………