ForwarderChain – очень странное поле, вроде бы имеющее отношение к форвардингу функций. По одним данным индекс в цепочке форварда, по другим – RVA-указатель на массив IMAGE_IMPORT_BY_NAME. Обычно равно нулю (нет здесь никакого форварда), так что навряд ли это указатель, скорее уж адрес. Хотя спецификация и утверждает, что за отсутствием форварда закреплено значение FFFFFFFFh, линкеры, похоже, придерживаются совершенно иного мнения. Что же до системного загрузчика, то это поле он попросту игнорирует, и здесь может быть все, что угодно. То же самое относится и к отладчикам/дизассемблерам.

Пример практической работы с таблицей импорта приведен ниже:

Листинг 11. Дампер таблицы импорта

// ПЕЧАТАЕМ ТАБЛИЦУ ИМПОРТА

n2k_print_IAT(DWORD* importLookupTable, DWORD* importAddressTable, BYTE* pBaseAddress)

{

    DWORD lookup, hint, address;

    BYTE  *name;  char  buf[MAX_BUF_SIZE];

    name   = "not pressent"; lookup = address = hint = 0;

    printf(      " hint  name/ordinal                   address "

           "-------------------------------------------- ");

    while(1) // сканируем таблицу импорта, пока не встретим нуль

    {

           // извлекаем очередные элементы из loockup

           // и address таблиц