逆向工程核心原理学习笔记1-通过IAT手工定位notepad.exe中的导入函数

最新推荐文章于 2022-05-30 01:20:53 发布
最新推荐文章于 2022-05-30 01:20:53 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HappyOrange2014/article/details/47947279
版权
本文通过PEview分析notepad.exe,详细介绍了如何手工查找并理解导入函数表IAT,包括试验环境、查找过程、注意问题,如从Image_Dos_Header到Image_NT_Headers,再到导入表的解析,最终找到comdlg32.dll的导入函数PageSetupDlgW。
摘要由CSDN通过智能技术生成

本文将通过PEview 0.99这款PE查看器来复习与IAT相关的知识,复习方式就是手工查找xpsp3下notepad.exe文件中第一个导入DLL中的第一个导入函数。之所以选用PEview而不用winhex类软件,主要是为了便于验证自己的思路是否正确。在熟悉了IAT手工查找的具体过程之后,还是使用工具软件直接获取信息比较方便。

导入函数表IAT应该是分析PE文件时比较难过的一关了,涉及到多个结构体数组之间的相互关联,我看了很多遍也没有完全搞清楚,那不如就把本文作为一道练习题,来系统地梳理一下思路。如有不对之处,还请各位指出。

1. 试验环境

2. 查找过程整体思路

这里写图片描述

3. 具体查找过程

(1)梳理处各节区的地址段,以便于后续的RAW换算。针对本文中的notepad程序,其各区段的RAW和RVA如下图所示。

这里写图片描述<

最低0.47元/天 解锁文章
HappyOrange2014
关注
专栏目录
Win7手工查找notepad.exeIAT
h123120的专栏
04-05 1042
      最近在学习逆向工程核心原理》,文在WinXp下查看了一步一步手工查找了notepad.exeIAT,所以我想试试能否在Win7下也完成,看看系统版本迭代升级之后PE header和PE body有些什么变化。一、相关事项(一)OS版本:Microsoft Windows 7 旗舰版  6.1.7601 Service Pack 1 Build 7601(二)对象系统指导n...
《逆向核心原理》第十五章----调试notepad_upx.exe
qq_55785697的博客
04-05 582
零、前情提要 我们常见的压缩比如zip、7z、rar等都是通过合适的压缩算法将大东西变成小东西,就像挤出海绵里的水、压出杯子里的空气或者榨出论文里的水一样;而今天提到的upx称之为运行时压缩,仅针对可执行文件,压缩后仍为可执行文件,其包含解码程序和源代码。 一、比较upx加壳前后的pe结构 用peview打开两个exe,加壳前的notepad.exe包含text、data、src节,加壳后text和data节消失,取而代之的是upx0和upx1。 可以发现notepad_upx.exe
逆向工程核心原理
huanongying131的博客
02-08 1615
明天就要上班了,呜呜,好久没看书,没写代码了!感觉都快忘了。无聊之际,就选了这本《逆向工程核心原理》来看一看。  快速的浏览第一章。 大致讲了,什么是静态,什么是动态,及他们的区别。 还有就是,学逆向,切勿急躁,当然了, 我觉得,做什么事都要有耐心,才能更好的完成这些事。这里还说到了,打补丁。我理解的打补丁,其实就是修改pe文件(对 window而言)。最后,还说到了google,
导入导出地址(根据库文件名求出:导入函数数量、函数序号、函数名称)
诚邀网络通信领域商务合作
04-20 1166
文章目录一、基础知识找出库文件名和RVAsec和RAWsec二、INT和IAT,得出导入函数数量三、第一函数序号、第一函数名称 一、基础知识 导入地址(Import Address Table,IAT)用来记录程序正在使用哪些DLL的哪些函数导入名称(Import Name Table,INT) 找出库文件名和RVAsec和RAWsec 通过PE头,可得notepad.exe的各节区头范围如4-12所示。并4-13。 二、INT和IAT,得出导入函数数量 下面进一步
手动PE+代码实现
weixin_41020820的博客
05-17 616
这篇文章用于自学记录与享,需要有以下基础: 有PE结构基础 十六进制 winhex使用 C++语言 开始:EXE文件我们选择(C::\windows\system32\notepad.exe) 通过winhex打开notepad.exe???? 节头 = DOS+4+PE标准头+可选PE 头 = 64+4+20+0xE0+0xE0-0x40(这里是垃圾数据,需要减掉) 我们主要注意的是节的这几个重要数据:???? 通过winhex手动寻找,很快就能找到所有的节。节的个数通过标准PE头的N
逆向工程核心原理学习笔记7 UPack加壳
EloflyS的博客
03-01 1310
逆向工程核心原理学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
逆向工程核心原理学习笔记5 PE文件学习——PE核心IAT,EAT
EloflyS的博客
02-19 649
逆向工程核心原理学习笔记5 PE核心——IAT,EAT 1.IAT——导入地址 用于记录程序正在使用哪些库的哪些函数格。
PE格式系列_0x04:输入查看(WinDbg+PEview+Stud_PE+Dependency+CFF)
可乐松子的博客
05-30 1209
目的:使用一个具体例子查询输入的真实模样;notepad.exe加载到内存时,查询输入的INT,用这个INT函数名对应的真实地址填充notepad.exe内存IAT的过程;PE文件装在完后,通过IAT就可以找到函数在内存真正的地址 文章目录1.WinDbg查看输入1.输入起始地址2.IMAGE_IMPORT_DESCRIPTOR3.INT(得函数名)4.IAT(填充地址)5.总结2.常用PE工具查看输入PEviewStud_PEDependency3.参考 1.WinDbg查看.
图解用工具对PE文件格式做初步研究
bcbobo21cn的专栏
05-05 2243
工具: PETool,MiniHex,PEViewer 以本机notepad.exe为研究对象。本机64位,该notepad.exe是64位应用程序。 1 用peviewer打开 PE文件大体包括四部,DOS头,NT头,节以及具体的节。下图展示的是前三部。 2 DOS头 e_magic:一个WORD类型,值是一个常数0x4D5A,用文本编辑器查看该值位‘MZ’,可执行文件
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
PEview-0.9.9最新版本
11-14
很好用的工具,最新版本0.9.9,无毒,解压后直接用,谢谢。
WinDbg查看notepad导入和kernel32导出
abtgu的博客
05-16 955
一、 使用WinDbg查看notepad导入。 查看notepad的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看notepad导入。 二、 使用WinDbg查看kernel32的导出。 查看kernel32的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看导出。 ...
神器PEview 妈妈再也不用担心我看dll和lib等库文件了
ericwuhk的专栏
01-18 6395
Step1:下载神器PEView0.99,评论后可以补回一个资源; Step2:打开压缩包; Step3:打开你想内窥的文件,如lib、dll格式的; Step4:本人亲测dll 和lib格式可以完全暴露,看图
Notepad++源码(一)
voidmain的专栏
10-31 9581
一个开源项目Notepad++的代码,第一步
PE文件学习
热门推荐
giantbranch的专栏
05-21 1万+
1.介绍 什么是PE文件? PE文件是windows操作系统下使用的可执行文件格式。32位就直接叫PEPE32,64位的就PE+或PE32+,注意不是PE64哦!!!! 学习PE文件其实就是学习结构体,里面储存了如何加载到内存,从何处开始运行,运行需要那些dll,需要多大的栈和内存等 初识PE文件 看看大概包括那些结构体吧 2.PE
PEview Version 0.9.6 by Wayne J. Radburn
Linhanshi Blog
08-28 1367
PEview Version 0.9.6 ( 31KB ) - my quick and easy way to view the structure and content of 32-bit Portable Executable (PE) and Component Object File Format (COFF) files which supports the viewing of E
VProtect 1.x - 2.x 直接IAT脱壳工具
脱壳(Unpacking)是逆向工程的一个重要步骤,目的是移除程序上的保护层,揭示其原始的、未加密的代码。这个脚本的作用就是帮助研究人员或安全专家绕过VProtect的IAT保护,还原程序的原始导入,从而能够进一步...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值