输入表结构解析

最新推荐文章于 2024-01-27 11:48:02 发布
最新推荐文章于 2024-01-27 11:48:02 发布
阅读量586 收藏 2
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120836537
版权
本文详细介绍了PE文件的输入表结构,包括输入表的作用、结构、解析方法和实验步骤。通过解析输入表,理解PE文件如何调用其他DLL模块的函数,以及如何手工和编程实现输入表的解析。
摘要由CSDN通过智能技术生成

目录

预备知识

一、相关实验

本实验要求已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节表头解析以及RVA与文件偏移地址的转换》。

二、输入表简介

可执行文件在调用来自其他DLL模块的函数的时候,称为输入,例如当EXE程序弹出一个消息框时,是通过调用User32.dll的MessageBoxA(或者MessageBoxW)来实现的,称该EXE程序输入了User32.dll的MessageBoxA(或者MessageBoxW)函数。不仅仅是EXE,PE文件(如DLL)都可以输入其他模块中的函数。

三、API版本

Win32 API是区分字符集的,对于有字符串参数的API而言,其通常存在两个版本:ANSI版本与Unicode版本,前者使用A后缀,后者使用W后缀。如MessageBox在MSDN中的声明如下:
在这里插入图片描述
其中参数lpText以及lpCaption都是字符串,其类型为LPCTSTR。事实上LPCTSTR是一个宏,根据编译器的设置选项的不同,其可以表示不同的含义(根据编译器的设置,LPCTSTR可以解释成LPCSTR或者LPCWSTR):
在这里插入图片描述
因此,编程时使用的MessageBox也是一个宏,根据编译字符集的设定,这个宏最终被转换为MessageBoxA或者MessageBoxW,这才是Win32提供的API,如下图所示:
在这里插入图片描述
如果一个PE文件中存在对MessageBox的调用,那么PE文件的输入表中存在的API将是MessageBoxA或者MessageBoxW。

实验目的

1)了解PE文件的输入表结构;
2)手工解析PE文件的输入表;
3)编程实现PE文件输入表的解析。

实验环境

在这里插入图片描述
服务器:Windows XP,IP地址:随机分配
辅助工具:C32Asm、LordPE、Python

实验步骤一

输入表结构分析。
从本实验开始将陆续对PE文件中数据目录表的重要表项进行介绍,本实验将介绍数据目录表的第二个成员——输入表。
PE文件中存在一个叫做输入表的结构,这个表保存了PE文件的所有输入信息,包括输入了哪个DLL文件的哪个函数、函数是以名称还是以序号的方式输入、被输入函数在内存中的地址等。数据目录表的第二个成员指向输入表,输入表是一个类型为IMAGE_IMPORT_DESCRIPTOR(简称IID)的数组,每一个DLL都对应有一个IID结构,由于没有字段指明这个IID数组的长度,所以通过在末尾添加一个空的IID结构来表示数组的结束,IID结构体在WinNT.h头文件中的定义如下所示:

<
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE 输入 解析 python
11-03
运行环境 python3 在CMD或Powershell中运行命令 python IMPORT_TABLE_0.py PE文件路径 注意:解析的是32位PE文件 PE文件头可选映像头中数据目录的第二成员指向输入输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个单元是NULL。
输入详解
For Geek
04-26 1231
输入结构如下: 在数据成员目录的第二项可以找到输入的offset 输入其实是一个IMAGE_IMPORT_DESCRIPTOR结构数组,看下Winnt.h中的详细定义 typedef struct _IMAGE_IMPORT_DESCRIPTOR { // 0 for terminating null import descriptor union { DWORD...
输入在PE中的结构及加载过程
cay22的专栏
03-31 2079
http://hi.baidu.com/mymillet/blog/item/0c09123debead3c19f3d6249.html 输入结构我们知道,程序调用外部的dll函数通常都是下面这种形式:     call my_label     ... my_label: jmp dword ptr [xxxxxxxx]     对一个dll中的函数的调用总是通过一个地址间接的调用的
[PE结构分析] 8.输入结构输入地址(IAT)
weixin_34167043的博客
08-16 457
在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。每个被链接进来的 DLL文件都分别对应一个 IMAGE_IMPORT_DESCRIPTOR (简称IID) 数组结构。 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { D...
输入(IID) 棋幽视频第八集
weixin_34099526的博客
12-20 111
输入(IID) 输入 输入结构输入是以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始,一个程序 要调用几个dll就会有几个IID项,即每个IID对应于一个dll IMAGE_IMPORT_DESCRIPTOR struct union{ DWORD Characteristics ; ;00h DWORD OriginalFirstTh...
oracle结构生成工具
11-24
标签中的“.net oracle excel 结构生成”揭示了该工具涉及的关键技术:.NET用于编程,Oracle是目标数据库系统,而Excel作为数据输入和管理的工具。通过整合这些技术,用户可以享受到无缝的集成体验,从数据设计到...
详解 linux mysqldump 导出数据库、数据、结构
09-09
mysqldump是MySQL提供的一款强大的命令行工具,用于数据库的备份、恢复以及导出数据和结构。本篇文章将详细解析如何使用mysqldump来操作Linux上的MySQL数据库。 首先,让我们了解几个基本的mysqldump选项: 1. `...
解析SQL 结构信息查询 含主外键、自增长
09-10
在SQL中,获取结构信息是一项基础且重要的任务,它涉及到数据库设计、数据维护和问题排查等多个方面。本文将深入探讨如何查询SQL结构信息,包括主键、外键和自增长字段等关键元素。 首先,我们要理解结构主要...
PE文件解析-输入、输出与重定位
zhyulo的博客
01-03 3256
一、 输入 1、输入地址定位    PE文件头可选映像头中数据目录的第二成员指向输入输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个单元是NULL。     数据目录的第二成员 IMAGE_DATA_DIRECTORY DataDirectory[IM...
user32.dll中函数列
11-23
user32.dll是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息。   
kettle从入门到精通 第五课 输入
最新发布
zhangjin1222的博客
01-27 643
3、填写连接名称,选择连接类型和连接方式,我这里使用的是mysql。:选择这个选项可以使用存储在KTR中的缓存元数据,而无需建立数据库连接来查询。:和从步骤插入数据搭配使用,若前置步骤只有一条数据输出,则无需勾选,若前置步骤有多余一条数据输出,则需要勾选。5、编辑写日志控件,设置要打印日志的字段,可以点击获取字段按钮获取所有字段,也可以删除不要打印的字段。:0示不限制,可以填写大于0的数字,比如填写2作用和sql遇见里面的limit 2一样。:若勾选,SQL语句里面的变量如${ID} 会被替换。
测试用例设计(三)----参数类测试设计(多个参数之间存在相互关系)
qq_37585545的博客
06-25 2477
参数类的测试是很常见的测试点,如何利用四步走完成参数类测试设计呢? 1.建模--使用“输入输出”,分析一个测试点:在某种条件下,特定的输入会有怎样的输出。 条件 输入 输出 测试点1 测试点2 条件1 参数1 参数2 参数3 参数4 参数5 输出1 条件2 参数6 参数7 参数8 参数...
PE格式解析-区段及导入结构详解
热门推荐
走在成长的路上
12-21 1万+
PE格式区段与导入结构详解
PE格式详细讲解8 - 系统篇08|解密系列
weixin_33724659的博客
06-20 129
PE格式详细讲解8-系统篇08 让编程改变世界 Change the world by program 在此之前,我们已经对这个输入进行了一些实践和理解,这有助于大家对这个概念更进一步的加深认识。 小甲鱼觉得,越是复杂的问题我们应该越是去动手操作它,认识它,这样才容易熟悉它! 在上一节课我们像小鹿一样的乱撞,终于撞到了输入里边包含的函数名称,嘿嘿,不过地址,我们...
PE格式详细讲解7 - 系统篇07|解密系列
weixin_33709364的博客
05-26 197
PE格式详细讲解7-系统篇07 让编程改变世界 Change the world by program 捷径并不是把弯路改直了,而是帮你把岔道堵上! 走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇! 岔路会将你引入万劫不复的深渊,并越走越深…… 在开始讲解输入(导入)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前...
PE头之IMAGE_FILE_HEADER解析
ChuMeng1999的博客
10-17 904
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.文件偏移地址(File Offset)2.基地址(ImageBase)3.程序入口点(EntryPoint)4.虚拟地址(Virtual Address,VA)5.相对虚拟地址(Relative Virtual Address,RVA) 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方
PE文件结构(三) 输入
billvsme的专栏
10-03 4449
PE文件结构(三) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输入 输入函数,示被程序调用但是它的代码不在程序代码中的,而在dll中的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存中的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存中正的地址联系起来。输入(导入)就是用来保存这些函数的信息的。 在 IMAGE_OPT
C#调用Win32 的API函数--User32.dll
hrd888888的博客
02-01 1218
[code="C#"]using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Runtime.InteropServices; namespace WindowsAPI { class CSharp_Win32Api { ...
Hyperion Planning System 数据结构详解
"hyperion数据结构-11.1.2.1-PlanningSystem" Hyperion是Oracle公司的一款企业性能管理软件,它提供了一系列工具来支持财务规划、预算编制、预测以及报告等业务流程。在Hyperion Planning系统中,数据库结构是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值