IDA分析dll文件时导入表值不值得先看 IDA分析dll文件时导出函数通常怎么利用

IDA分析dll文件时导入表值不值得先看IDA分析dll文件时导出函数通常怎么利用，可以这么回答：导入表值得先看，但不能只盯着导入表。dll文件多数时候是被exe或者其他模块加载起来用的，在分析的时候，既要去了解它依赖于哪些外部的API，也要清楚它自己向外提供了哪些函数。IDA的Subviews里面，既包含Exports，也包含Imports，Exports会列出导出符号的名称、地址和序号，Imports则会列出动态链接导入的符号、序号、名称和来源库。

一、IDA分析dll文件时导入表值不值得先看

导入表是比较值得先查看的，因为它可以很快地让分析人员知道，这个dll大概会做些什么事情。虽然导入表不能直接等同于业务逻辑，但它能在入口方向和功能范围方面，先给出一个初步的判断。

1、先看依赖了哪些系统库

打开【Imports】窗口，先去看一看导入的函数是来自kernel32、user32、advapi32、ws2_32、wininet、crypt32，还是其他的库。

要是导入的文件读写、注册表、线程、进程、网络、加密相关的API数量比较多，那就能初步估计这个dll可能会涉及配置读取、通信、授权校验、数据处理或者后台任务。这个估计只是一个方向，并不是最终的结论，真正的功能，还是要返回到调用这些API的位置，结合上下文去确认。

2、导入表能帮助寻找关键函数

导入表里的API，可以通过交叉引用来反向定位调用点。比如看到了CreateFile、RegOpenKey、InternetOpen、CryptHashData这一类的函数，就可以去查一查，是哪些内部的函数在调用它们。IDA自己会去维护交叉引用，但对于一个刚刚打开的文件，引用信息可能要等到后台分析完成以后，才会逐步收集完整。

3、导入表不能单独用来判断风险

有一部分dll会通过LoadLibrary、GetProcAddress这种方式，去动态地获取API地址，这类调用未必能完整地出现在普通的导入表里面。还有一些导入进来的函数，仅仅是运行库在初始化的时候需要用到，跟核心业务的关系并不大。所以，导入表更适合作为一个分析的开端，不适合直接当作最后的判断依据。

二、IDA分析dll文件时导出函数通常怎么利用

导出函数更接近于dll向外部提供的接口。在分析dll的时候，导出函数往往比PE的入口点更加实用，因为外部程序通常就是通过这一些导出函数，去调用dll里面的功能。

1、先从Exports窗口寻找入口候选

进入【Exports】窗口，去查看导出函数的名称、地址和序号。

如果导出函数带有比较清晰的名称，比如Init、Start、VerifyLicense、EncryptData、CreateInstance，就可以直接把它们当作分析的入口。要是只剩下序号，或者名称已经被混淆过，那就先去看每一个导出地址对应的函数体，再结合它调用了哪些API、使用了哪些字符串，以及参数的数量，去判断它的用途。

2、按导出函数分组分析功能

导出函数最好不要单独去查看。可以按照初始化、配置、数据处理、释放资源、回调注册这一些逻辑，去把它们分一分类。比如一个dll同时导出了Initialize、Process、Release，通常就说明它有一套比较明确的生命周期。先去看初始化的函数，再去看处理的函数，最后看释放的函数，这样会比随机点开一个函数，要更容易理顺整个流程。

3、结合调用约定和参数推断用途

导出函数如果没有符号信息，那么参数和调用约定，就会变得很重要。可以通过反编译的结果、栈上的变量、寄存器的使用情况、字符串的引用，以及错误码和返回值，去推断参数的大致含义。IDA的Functions视图，会列出程序里边的所有函数，并且显示出函数名、所在的段、起始地址、长度、局部变量和参数这些相关的信息，这可以辅助去判断函数的边界。

三、导入表和导出函数怎样配合分析

导入表和导出函数最好是放在一起查看。导出函数负责说明“外部能调用什么”，导入表负责说明“内部可能依赖哪些能力”。把这两方面结合起来，才可以避免只看到表面的函数名称。

1、从导出函数进入，再观察内部调用

先选中一个导出函数，按下F5去查看伪代码，然后再去观察它调用了哪些内部的函数和外部的API。遇到关键的API时，用X键去查看有哪些地方引用了它。Hex-Rays关于交叉引用的说明当中提到，IDA会记录程序里不同位置之间的xrefs，并且可以通过X键，去查看当前这个标识符的引用列表。

2、从关键API反向寻找导出接口

如果导出函数的数量比较多，也可以反过来，从导入表这一端着手。比如先找出跟加密、网络、文件、注册表相关的API，再去查看它们被哪些内部函数调用，接着继续往上追溯，一直追到导出函数那里。这样就能比较快地判断出，是哪一个导出的接口，会触发这些关键的行为。

3、注意转发导出和动态调用

有些dll的导出函数，仅仅是把调用转发到了其他的模块，或者只是非常薄的一层包装。遇到函数体很短、直接一条跳转、只调用了另外一个函数的这种情况，不要停在导出地址本身，要继续跟到真正处理逻辑所在的地方。对于函数指针表、回调表和动态加载的调用，也要配合数据的交叉引用一起去看，不能只依靠普通的call引用。

总结

IDA分析dll文件时导入表值不值得先看IDA分析dll文件时导出函数通常怎么利用，一个比较合理的次序，是先去看导入表，判断它所依赖的能力，再去看导出函数，确定外部的入口。导入表能够帮助识别文件、网络、注册表、加密等关键行为；导出函数则能够帮助找到外部调用的路径和业务的入口。在真正分析的时候，应该把导出函数、导入API、字符串和交叉引用结合起来查看，这样会比单独盯住某一张表，要更容易找到真正的逻辑。