windows – 为什么PE需要Original First Thunk(OFT)？

在新的未修补版本的Windows上,基本.DLL(ntdll,kernel32,user32等)中所有函数的所有地址都是已知的.以shell32为例,它链接到kernel32！Cre??ateProcess,CreateProcess的真实地址可以直接存储在shell32中.这称为import binding,并允许加载程序跳过查找导入函数的所有地址的步骤.

如果导入的.DLL尚未加载到其首选地址,并且.DLL已更改(安全更新等),则此方法无效.如果发生这种情况,则加载器必须查找“正常方式”的函数,并且必须使用原始的第一个thunk数组,因为这是存储函数名称的RVA的唯一位置.

如果未使用导入绑定,则原始的第一个thunk数组是可选的,可能不存在.

ASLR可能使这种优化无关紧要.