PE结构->【输入表】Import【下】

最新推荐文章于 2021-10-30 18:20:44 发布
VIP文章 最新推荐文章于 2021-10-30 18:20:44 发布
阅读量342 收藏 1
点赞数
分类专栏: PE资料 文章标签: PE结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011513939/article/details/73550839
版权

输入表结构

回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。

而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。
每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。

在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多少个链接文件),但它最后是以一个全为NULL(0) 的 IID 作为结束的标志。

IMAGE_IMPORT_DESCRIPTOR 结构定义如下:

IMAGE_IMPORT_DESCRIPTOR STRUCT 
    union 
        Characteristics           DWORD   ? 
        OriginalFirstThunk        DWORD   ? 
    ends 
    TimeDateStamp                 DWORD   ? 
    ForwarderChain                DWORD   ? 
    Name                          DWORD   ? 
    FirstThunk                    DWORD   ?
IMAGE_IMPORT_DESCRIPTOR ENDS

成员介绍:

OriginalFirstThunk
它指向first thunk,IMAGE_THUNK_DATA,该 thunk 拥有 Hint 和 Function name 的地址。

TimeDateStamp
该字段可以忽略。如果那里有绑定的话它包含时间/数据戳(time/data stamp)。如果它是0,就没有绑定在被导入的DLL中发生。
在最近,它被设置为0xFFFFFFFF以表示绑定发生。

ForwarderChain
一般情况下我们也可以忽略该字段。在老版的绑定中,它引用API的第一个forwarder chain(传递器链表)。
它可被设置为0xFFFFFFFF以代表没有forwarder。

Name
它表示DLL 名称的相对虚地址(译注:相对一个用null作为结束符的ASCII字符串的一个RVA,该字符串是该导入DLL文件的名称。
如:KERNEL32.DLL)。

FirstThunk
它包含由IMAGE_THUNK_DATA定义的 first thunk数组的虚地址,通过loader用函数虚地址初

最低0.47元/天 解锁文章
郭振澳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结10---PE文件结构之导入IMAGE_IMPORT_DESCRIPTOR)
oBuYiSeng的博客
12-11 4218
1、导入基址是PE文件从其他三方程序导入API,以供本程序调用的机制 2、是分析最好的切入点 IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色,引导系统找到真正保存有导入信息的其他两个结构:  IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_DESCRIPTOR {
PE 文件格之导入导出
he702477275的专栏
01-08 1389
PE 文件格之导入导出 先将源码贴上: #include #include "windows.h" BOOL DirInSecton(PIMAGE_DATA_DIRECTORY ndir,PIMAGE_SECTION_HEADER nsection) { if(ndir->VirtualAddress>=nsection->VirtualAddress&&ndir->Virtua
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5054
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入声明的动态链接库一并加载到进程的地址空间,并修正指令代码调用的函数地址. 在数据目录一共有四种类型的数据与导入
Windows:PE格式之输入
无名J0kзr的博客
03-21 469
文章目录数据目录输入 杂 前文是 操作系统:32位PE文件结构 数据目录 位置:ImageNtHeaders->OptionalHeader->DataDirectory 描述:由NumberOfRvaAndSizes个IMAGE_DATA_DIRECTORY结构体组成的数组 包含有:输入、输出、资源、重定位数据目录项的RVA和大小 输入、输出又称导入、导出 输入 ...
PE文件结构(三) 输入
billvsme的专栏
10-03 4384
PE文件结构(三) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输入 输入函数,示被程序调用但是它的代码不在程序代码的,而在dll的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存正的地址联系起来。输入(导入)就是用来保存这些函数的信息的。 在 IMAGE_OPT
PE格式详细讲解7 - 系统篇07|解密系列
weixin_33709364的博客
05-26 188
PE格式详细讲解7-系统篇07 让编程改变世界 Change the world by program 捷径并不是把弯路改直了,而是帮你把岔道堵上! 走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇! 岔路会将你引入万劫不复的深渊,并越走越深…… 在开始讲解输入(导入)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前...
PE结构->【输入】工具包
06-21
PE结构->【输入Import【下】工具包
PE 输入 解析 python
11-03
PE文件头可选映像头数据目录的第二成员指向输入输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组没有字段指出该结构数组的项数,但他最后一个...
Neuron PE Disassembler 1.0.b7汉化版(PE反编译)
06-30
查看内部二进制结构PE文件,请执行以下操作:COFF和标准头文件,PE目录、区段,导入和导出,IAT、资源。 查看和提取资源从PE文件。 转换菜单、对话框、字符串和消息,Java源代码进行编译。 查看和从当前文件提取资源...
软件加密技术内幕
03-19
2.6 得到输入(ImportTable)信息 第3章 Win32 调试API 3.1 Win32调试API原理 3.1.1 调试相关函数简要说明 3.1.2 调试事件 3.1.3 如何在调试时创建并跟踪一个进程 3.1.4 最主要的循环体 3.1.5 如何处理调试...
Windows环境下32位汇编语言程序设计_随书光盘
06-19
查看 PE 文件的导入 Chapter17\Export ;查看 PE 文件的导出 Chapter17\Resource ;查看 PE 文件的资源列 Chapter17\Reloc ;查看 PE 文件的重定位信息 Chapter17\NoImport ;不使用导入调用 API 函数 Chapter17...
PE格式解析-区段及导入结构详解
热门推荐
走在成长的路上
12-21 1万+
PE格式区段与导入结构详解
[PE结构分析] 8.输入结构输入地址(IAT)
weixin_34167043的博客
08-16 441
PE文件头的 IMAGE_OPTIONAL_HEADER 结构的 DataDirectory(数据目录) 的第二个成员就是指向输入的。每个被链接进来的 DLL文件都分别对应一个 IMAGE_IMPORT_DESCRIPTOR (简称IID) 数组结构。 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { D...
认识Import-PE输入说明
01-25 1434
认识Import-PE输入说明 有很多介绍PE文件的文章,但是我打算写一篇关于输入的文章,因为它对于破解很有用。     我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的
PE文件格式学习(四):导入(Import)
tutucoo
11-07 719
UPDATE: 在文章的末尾更新了一张图,在网上找的,有助于理解导入结构 1.概述 导入是逆向和病毒分析比较重要的一个,在分析病毒时几乎第一时间都要看一下程序的导入的内容,判断程序大概用了哪些功能。 导入数据目录的第2个元素,排在导出的后面。 2.导入解析 先来了解一下导入PE文件结构体: struct _IMAGE_IMPORT_DESCRIPTOR { ...
PEimport table/IAT 分析
panda1987的专栏
10-08 1万+
本文将通过一个实例说明PE结构import table及import address table(IAT). 在data directory有两项:IMAGE_DIRECTORY_ENTRY_IMPORT(1)和IMAGE_DIRECTORY_ENTRY_IAT(12),IMAGE_DIRECTORY_ENTRY_IMPORT指向了该PE文件所有的输入信息,而IMAGE_DIRECTORY_ENTRY_IAT指向了该PE文件的导入地址。现在不必关心这两个的关系,在之后的分析将渐渐明朗。如果用
PE结构->【输入Import【上】
u011513939的博客
06-21 287
使用工具:PEinfo.exe, hello.exe,UE输入函数 在代码分析或编程经常遇到“输入函数(Import Functions,也称导入函数)”的概念。 这里我们就来解释下,输入函数就是被程序调用但其执行代码又不在程序的函数,这些函数的代码位于相关的DLL 文件,在调用者程序只保留相关的函数信息(如函数名、DLL 文件名等)就可以。 以上是咱这次实验的小青蛙哈~灰常简单
创建java程序:输入商品id ---> 显示商品详情 ---> 输入购买数量 ---> 输入商品id, 如此反复;最后生成订单,按下“去结账” 按钮,
最新发布
06-01
System.out.println("按下“去结账”按钮,结算您的订单。"); } } ``` 这样,我们就完成了一个简单的商品购买程序。用户可以输入商品ID,查看商品详情,输入购买数量,然后不断重复此过程,直到输入0结束。最后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值