导入表

最新推荐文章于 2021-12-19 13:15:58 发布
最新推荐文章于 2021-12-19 13:15:58 发布
阅读量297 收藏
点赞数
分类专栏: PE结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H888001/article/details/103004045
版权

找到倒入表对应的rva,转为foa,

导入表有很多,每一个有20个字节,最后一个导入表结尾有20个字节的0,所以据此判断导入表结束位。

导入表结构体如下:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    } DUMMYUNIONNAME;
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date\time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)

    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

一。找到导入表名称

找到的导入表占用的字节码,偏移0xc出找到name的rva,找到rva对应的字节码,名字有ascall码构成,所以名字以0结束。

二:确认函数信息

 

玩撕你
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows PE 第四章 导入
天使也掉毛
10-07 3762
Windows PE 第四章 导入
关于导入
zzx的博客
12-14 946
写一篇关于导入的文章。 逆向脱壳,找到入口点之后,dump。一般都会遇到要修复导入的问题,因而了解导入就有必要。 首先说一下什么是导入,百度百科给出的解释是 Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用
导入注入
weixin_43990313的博客
07-29 459
导入注入 思路 构造新的节,存放导入结构,在这之后构造INT、IAT、IMAGE_IMPORT_BY_NAME结构。同时注意FOA到RVA的转化。 导入注入 1.创建新节并移动导入copy(不需要修复) 2.创建导入之后添加一个新导入(在新之后添加一个导入大小的0作为导入的结束标志) 3.追加INT和IAT 4.构造IMAGE_IMPORT_BY_NAME结构 5.赋值 6.修正IMAGE_DATA_DIRECTORY的VirtualAddress 和Size 需要的函数 RVATO
PE文件导入解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件的导入,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
daorubiao.rar_导入
09-23
《深入解析Delphi程序的导入》 在软件开发领域,尤其是使用 Delphi 这样的高级编程语言时,了解程序的“导入”至关重要。导入是Windows操作系统中PE(Portable Executable)文件格式的一部分,它记录了程序...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
导入内注入代码》文章代码VC源代码
03-15
Import Table viewer pemaker6.zip (96.6 KB) PE Maker to redirect API by JMP pemaker7.zip (193 KB) PE Maker to redirect ShellAbout() zimport.zip (130 KB) Import Table runtime redirector 《导入内注入...
驱动开发实现修改导入注入dll
12-21
导入注入dll其实就是给程序的导入添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。 我在驱动实现修改导入的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调中...
导入编程-枚举导入
天使也掉毛
10-23 899
导入编程-枚举导入
PE-导入
megaparsec
12-19 1979
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
【PE结构】5.导入
SMOne
06-25 1945
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
PE文件学习--导入
KOOKNUT的博客
06-27 488
写在前面的话:今年疫情在家,才开始在CSDN与各位大佬们分享交流技术,最近一个月返校之后,一直忙碌于学校课设和期末考试的备考(毕竟平时不怎么听课),所以博客几乎一个多月没有更新,最近只剩下一门考试了,今天小库又回来了。 之前有关PE文件的知识好像更新到了导出,今日来看看导入。 我们提到导入,最常说的就是导入的双桥结构 先来看一下导入描述符结构体IMAGE_IMPORT_DESCRIPTOR typedef struct _IMAGE_IMPORT_DESCRIPTOR { union
导入与导出
richard1230的博客
10-09 7439
文章目录首先说几个基本问题:双桥结构解析导入:导入: 首先说几个基本问题: 1.导入的作用是什么?没有它exe能运行么? 作用:记录了一个exe或者一个dll所用到的其他模块导出的函数; 所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数 2.导出的作用?没有它exe能运行么? 作用:记录了导出符号的地址,名称,与序号 (提示:exe文件中很少有导出的,大多数dll都有...
数据结构实验报告(集合)
最新发布
09-07
此代码实现了一个集合的抽象数据类型 ASet,用于管理整数集合,确保集合内所有元素唯一且无重复。提供了多种基本操作,包括集合的创建、输出、元素查找及集合间的基本运算(并集、交集、差集)。 主要功能 创建集合: 从整数数组创建集合,并设定集合大小。 输出集合: 打印集合内所有元素,格式为以空格分隔的整数列。 元素查找: 判断指定元素是否存在于集合中,返回布尔值。 集合运算: 并集:合并两个集合的所有元素,并去重。 交集:找出两个集合的共同元素。 差集:找出存在于第一个集合但不在第二个集合中的元素。 核心算法 快速排序:对集合元素进行排序,采用递归方式实现,确保集合有序。 去重:对已排序的集合进行去重,确保集合内元素唯一。 集合运算:使用双指针法高效计算并集、交集和差集。
sqlyang如何导入
08-07
在sqlyang中,导入可以通过以下步骤完成: 1. 首先,确保你拥有待导入的数据文件。常见的数据文件格式可以是CSV、TXT或XLS等。 2. 打开sqlyang,连接到你的数据库。你可以使用如下命令连接到数据库: ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值