IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT:

Вот мы и добрались до отложенного импорта… Рассмотрим его лишь вкратце, поскольку ничего хорошего ожидать все равно не приходится. Для экспериментов нам понадобится по меньшей мере один файл с отложенным импортом. Если же такого в вашем распоряжении нет, создайте его самостоятельно. Пользователи Microsoft Linker могут поступить так: link dll.test.impl.obj /DELAYLOAD: dll.dll dll.lib DELAYIMP.LIB, а пользователи линкера ulink от Юрия Харона (которым я сам давно пользуюсь и который всем настоятельно рекомендую), так: ulink -d dll.test.impl.obj dll.lib.

Листинг 14. Прототип структуры ImgDelayDescr

typedef struct ImgDelayDescr {

    DWORD        grAttrs;     // attributes

    LPCSTR       szName;             // pointer to dll name

    HMODULE*     phmod;       // address of module handle

    PimgThunkData pIAT;        // address of the IAT

    PCImgThunkData      pINT;        // address of the INT

    PCImgThunkData      pBoundIAT;   // address of the optional

                               // bound IAT

    PCImgThunkData      pUnloadIAT;  // address of optional copy

                               // of original IAT

    DWORD        dwTimeStamp; // 0 if not bound,

                               // O.W. date/time stamp

                               // of DLL bound to Old BIND

} ImgDelayDescr, * PImgDelayDescr;

Поле grAttrs задает тип адресации, применяющийся в служебных структурах отложенного импорта (0 – VA, 1 – RVA); поле szName содержит RVA/VA-указатель на ASCIIZ-строку с именем загружаемой DLL (тип адреса определяется особенностями реализации конкретного delay helper, внедряемого в программу линкером и варьирующегося от реализации к реализации). В изначально пустое поле phmod загрузчик (все тот же Delay Helper) помещает дескриптор динамически загружаемой DLL.