PE结构&绑定导入实现

最新推荐文章于 2021-12-19 13:15:58 发布
最新推荐文章于 2021-12-19 13:15:58 发布
阅读量7.7k 收藏 3
点赞数 4
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSNN2019/article/details/113635450
版权

PE体系

PE结构&整体叙述

PE结构&导入表

PE结构&导出表

PE结构&基址重定位表

PE结构&绑定导入实现

PE结构&延迟加载导入表

简介

作用

绑定导入是一种提高PE加载速度的技术。它只能起辅助性作用,它的存在与否只影响加载过程,并不影响PE的最终加载结果和运行结果

为什么说是辅助性呢?
因为不同的操作系统中,动态链接库的基地址是不一样的。举个例子,kernel32.dll,在Windows 2000中其加载到进程空间的基地址为0x77e60000,而在Windows XP SP3中其加载地址则是0x7c800000。同一动态链接库加载后处于不同的基地址,直接导致了同一个导入函数在不同操作系统中其导入地址VA是不一样的。

因此经过绑定的PE程序可以能在Windows 2000里运行得很好,但是到了Windows XP SP3中却因地址出现错误而造成无法运行。

解决办法

在为PE加入绑定导入机制的时候,微软就已经考虑了这个问题,所以假定PE加载前对IAT的修正都是正确的。那么PE的加载速度是加快的,即使绑定以后的EXE程序在其他兼容系统中运行时,其地址出现错误,PE加载也有检测错误的基址。如果地址检测出错误,PE加载器会重新接管这项工作,加载时对IAT进行修正。

原因

双桥结构导入表中,桥2是指向IAT的,Windows加载程序负责IAT中地址的修正工作。如果导入函数比较多的话,那么就会占用比较长的时间,从而加载速度就会变慢。因此有了绑定导入,它的目的就是把Windows加载程序负责的IAT地址修正工作提到加载前进行,要么由用户手工完成,要么由专门的程序完成;然后再PE文件中声明导入数据,以便告诉操作系统加载器说这部分工作不需要你做了。

操作

微软提供了一个绑定工具bind.exe程序,它把导入表IAT表项IMAGE_THUNK_DATA32的内容都静态替换成虚拟内存地址(如下图)

在这里插入图片描述
在这里插入图片描述

,然后在数据目录表的第12项指定的位置声明这些更改。Windows在加载目标PE相关的动态链接库时,会检查这些地址时候合法(检查操作包括:当前的DLL版本是否符合绑定导入结构中描述的版本号,如果不符合或者DLL需要被重新定位加载器也就会去遍历INT(如下图),计算新的地址。)
在这里插入图片描述

这就是为什么双桥可以绑定, 单桥不能绑定了,因为单桥的话,进行遍历INT这里是无效的(没有桥1,只有桥2),所以单桥结构无法实施静态绑定

绑定导入数据定位

绑定导入数据结构

IMAGE_BOUND_IMPORT_DESCRIPTOR	STRUCT
	TimeDataStamp					dword		?	;	0000h	-时间戳
	OffserModuleName				word		?	;	0004h	-指向DLL名称
	NumberOfModuleForwarderRefs		word		?	;	0006h	-ModuleForwarderRef	数目
IMAGE_BOUND_IMPORT_DESCRIPTOR	ENDS

IMAGE_BOUND_IMPORT_DESCRIPTOR.TimeDataStamp

+0000h,双字。该字段的值必须要与要引用的DLL文件头IMAGE_FILE_HEADER.TimeDataStamp字段值相吻合,否则就会促使加载器去重新计算新IAT,这种情况一般发生在DLL版本不同时或者DLL映像被重定位时

IMAGE_BOUND_IMPORT_DESCRIPTOR.OffserModuleName

+0004h,单字。该字段包含了以第一个IMAGE_BOUND_INPORT_DESCRIPTOR作为基址,DLL名称字符串(ASCII且以“\0”结束)的偏移

注意:
该偏移地址是一个特殊的地址,它即不是RVA,也不是FOA

IMAGE_BOUND_IMPORT_DESCRIPTOR.NumberOfModuleForwarderRefs

+0006h,单字。该字段描述了紧接在IMAGE_BOUND_IMPORT_DESCRIPTOR结构后的另一个结构IMAGE_BOUND_FORWARDER_REF的定义:

IMAGE_BOUND_FORWARDER_REF STRUCT
	TimeDataStamp		dword		?; 0000h		-	时间戳
	OffsetModuleName	word		?; 0004h		-	指向DLL名称
	Reserved			word		?; 0006h		-	预留
IMAGE_BOUND_FORWARDER_REF ENDS

为什么会存在该结构呢?处于不同的目的(如代码更新,结构调整或实施补丁等),动态链接库中的某些函数的实现代码会被转移到别的动态链接库中。但为了提供向前的兼容,这些动态链接库中还保留该函数的定义。

换种说法,一个导入函数将涉及对多个动态链接库函数的调用,数据结构IMAGE_BOUND_FORWARDER_REF就是在这样一个背景下产生的,它将引入函数涉及的所有动态链接库都列举出来。

该结构的字段定义和IMAGE_BOUND_IMPORT_DESCRIPTOR是基本一致的,所以前面的描述“绑定导入数据由一系列的绑定导入描述符IMAGE_BOUND_IMPORT_DESCRIPTOR的结构组成”也是成立。

导入数据组织方式如下图:
在这里插入图片描述

实际操作

在这里插入图片描述

用的是dump后的文件:
在这里插入图片描述

注意:
系统文件的绑定导入表数据在文件中的存放位置:大部分情况下,该数据被存在PE文件头部,紧跟在节表后。

看一个特殊的具有IMAGE_BOUND_FORWARDER_REF的结构,如上图数据进行分析,分析结果如下:
IMAGE_BOUND_IMPORT_DESCRIPTOR。

C6	BD	02	48

绑定时操作系统中动态链接库kernel32.dll 的时间戳

A3	00

指向动态链接库名称字符串的偏移为0x00A3,注意该偏移是基于第一个IMAGE_BOUND_IMPORT_DESCRIPTOR结构的,即基于文件偏移地址0x00000250开始的偏移。

01	00

表示该动态链接库中的函数实现字节码存储在另一个动态链接库中

B0	00

指向动态链接库名称字符串的偏移

00	00

预留值,为0

寻梦&之璐
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
修复PE 文件导入
09-02
在程序加载到内存时,操作系统会根据导入表对这些函数进行解析和绑定,以便程序能够正确执行。 修复PE文件的导入表通常是因为某些原因导致导入表损坏或不完整,例如病毒攻击、恶意软件篡改或文件传输过程中出现问题...
PE文件格式学习(十四):绑定导入
11-08 186
1.介绍 绑定导入表的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入表中的dll文件,并将导入表的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入表中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入表,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入表的生效,有两个前提条件: 程序初始化时,导...
PE-导入
megaparsec
12-19 1939
导入表 在数据目录中一共有四种类型的数据与导入表数据有关。这四种数据依次为: 1.导入表 2.导入函数地址表 3.绑定导入表 4.延迟加载导入表 2.1 导入表 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入表所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
13.PE文件之绑定导入表(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3870
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入表,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT表的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入表定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
PE文件捆绑代码实现一:
weixin_30821731的博客
01-09 264
在资源段添加PE文件并释放:   这两天分析病毒,对PE文件释放很感兴趣。于是便想研究研究一下这种捆绑方式究竟是如何实现的。首先找到了一种在PE资源段添加自定义资源的方式,也就是我们也可以在资源段添加EXE或DLL,然后再将其释放到指定路径。由于自己编码能力实在有限,仅仅把今天在网上学到了这种方式实现了一遍,便以此作为自己在博客园的第一篇博客,并在以后慢慢将PE文件捆绑的各种方式全部实现。 实...
PE文件捆绑原理及源码
weixin_34018202的博客
05-17 1591
文章转载:pt007@vip.sina.com信息来源:邪恶八进制信息安全团队(www.eviloctal.com)文章的原文地址及代码地址在http://forum.eviloctal.com/thread-43020-1-1.html注:文章首发I.S.T.O信息安全团队,后由作者友情提交到邪恶八进制信息安全团队技术讨论组。出处:部分内容整理自网络前置知识:PE WIND...
PE Format Layout.pdf
08-31
本文将深入解析PE文件的结构,特别是其中的导入描述符(_IMAGE_IMPORT_DESCRIPTOR)以及相关的概念。 在PE文件中,_IMAGE_IMPORT_DESCRIPTOR 结构体扮演着至关重要的角色,它描述了PE文件如何导入其他DLL中的函数。...
PE导入表-函数列表-HASH值
03-13
PE导入表是一个数据结构,它告诉操作系统程序需要哪些DLL以及在这些DLL中寻找哪些函数。当程序加载时,操作系统会解析这个表,将函数地址绑定到程序的内存空间,使得程序能够正确调用这些函数。PE导入表包含以下...
延迟导入表w.zip
04-01
延迟导入表是PE文件中一个关键的特性,它允许程序在运行时而不是加载时解析和绑定DLL引用。这种机制提高了程序的启动性能,因为不是所有的DLL都需要立即加载。下面我们将深入探讨延迟导入表的概念、工作原理以及相关...
易语言源码易语言PE加载例程源码.rar
03-30
COFF头提供了文件的基本信息,如目标处理器类型,而PE头则包含更具体的PE结构信息。 2. 导入表处理:在PE文件中,导入表记录了程序依赖的其他DLL(动态链接库)和它们的函数。加载例程会解析导入表,并在需要时加载...
基于PE静态结构特征的恶意软件检测方法 (2013年)
05-26
针对现有检测方法的不足,提出了一种通过挖掘PE文件结构信息来检测恶意软件的方法,并用最新的PE格式恶意软件进行了实验。结果显示,该方法以99.1%的准确率检测已知和未知的恶意软件,评价的重要指标AUC值是0.998,已非常接近最优值1,高于现有的静态检测方法。同时,与其他方法相比,该检测方法的处理时间和系统开销也是较少的,对采用加壳和混淆技术的恶意软件也保持稳定有效,已达到了实时部署使用要求。此外,现有的基于数据挖掘的检测方法在特征选择时存在过度拟合数据的情况,而该方法在这方面具有较强的鲁棒性。
PE文件学习笔记(五):导入表、IAT、绑定导入表解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入表(Import Descriptor)结构解析:导入表是记录PE文件中用到的动态连接库的集合,一个dll库在导入表中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入表即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
PE知识复习之PE绑定导入
weixin_30352645的博客
10-05 168
                    PE知识复习之PE绑定导入表 一丶简介   根据前几讲,我们已经熟悉了导入结构.但是如果大家尝试过打印导入表的结构. INT IAT的时候. 会出现问题. PE在加载前 INT IAT表都指向一个名称表. 这样说是没错的. 但是如果你打印过导入表.会发现一个问题. 有的EXE程序.在打印IAT表的时候.发现里面是地址. 原因:   我们的PE程...
PE结构(四) 绑定导入
weixin_37673331的博客
02-29 486
1.关于绑定导入 一般情况下,在程序加载前IAT表和INT表中的内容相同,都是程序引用的dll中的函数的函数名或序号; 加载完成后IAT表中将替换为函数的真正地址; 但在加载前IAT表中直接写绝对地址是可以实现的; 加载前在IAT表中保存绝对地址的优点:启动程序快; 在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT表修复为地址等等; 如果直接用绝对地址,则省去了修复IAT表的操作...
修改PE文件注入dll
九层台
10-09 4415
修改思路 PE文件中导入dll信息以结构体列表形式存储在IDT中。只要将myhack.dll添加到列表尾部即可。 IDT结构 IDT的描述在IMAGE_OPTION_HEADER里面的IMPORT Table,通过size可以确定是否有足够的空间让我们添加 IDT是由IMAGE_IMPORT_DESCRIPTION(简称IID)结构体组成的数组,数组末尾以NULL结构体结束。每个IID结构体为0...
PE文件中注入dll
B01814124的博客
08-20 499
0.前提 1.修改导入表的RVA值 84CC —— 8C80 0064 —— 0078 ;增加了新导入的dll, IID结构体大小 2.删除绑定导入表 修改其值为0即可 3.创建新的IDT 将76CC-76EF复写到7E80 在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据 00 8D 00 00 00 00 00 00 10 8D 00 00 20 8D 00 00 (8D00–7F00 导入名称表 函数名称地址 8D10–7F10 名称 dll名称
通过修改PE文件导入DLL
learn112的博客
01-17 920
通过修改PE文件导入DLL 修改思路 实例 1.查看IDT信息 图1 由上图我们可以得到以下信息: IDT的RVA信息在文件偏移160h处,值为84CC IDT的大小信息在文件偏移164h处,值为64h 1.1转到IDT处查看具体信息 转到84CC也就是文件偏移76CC 共有5个IID结构体(每个IID20个字节,对应一个DLL相关信息),最后一个IID为NULL 由上图我们发现并没有足够空间添加我们的DLL, 那么转移IDT 2.转移IDT 由图1可知IDT在.rdata节区, 查看.rdata节区
滴水逆向三期实践17:绑定导入
Rivival_S 的博客
11-10 1151
上一章最后讲到,打印导入表时如果打印的某些 exe 比如 xp系统自带的 记事本 即notepad.exe(win10 的 notepad.exe已经没有这种情况了),那上面打印的结果就不一定是如上一章所说的了,因为我们默认了 FirstThunk 也就是IAT 表的内容不是函数编号就是函数名的 RVA,实际上在文件中的 IAT 表仍然有第三种情况,这就是本章讲的内容了 IAT 表在文件中存储的内容未必是序号和函数名的 RVA,还有可能直接就是上章讲的文件运行加载进内存后呈现的真正的函数地址。而这个.
结构绑定
最新发布
05-27
结构绑定(Structured bindings)是C++17引入的一个新特性,它允许我们将一个结构体或数组的成员绑定到多个变量中,以便更方便地访问和使用这些成员。例如: ``` struct Point { int x; int y; }; Point p = { 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值