解析绑定导入表

最新推荐文章于 2021-12-19 13:15:58 发布
最新推荐文章于 2021-12-19 13:15:58 发布
阅读量802 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/106276640
版权

一、绑定导入表的作用

有些windows程序,如notepad,为了提高加载速度,会直接把DLL中的函数地址写入到IAT表,省去了加载时的计算。但是这样会有两个问题,第一,当DLL没有占住ImageBase时,IAT中的地址就是错的;第二,当链接的DLL被修改了,那IAT里写的地址也是错的。遇到这两种情形之一,加载时就必须修复IAT了。

对于第二种情形,DLL是否被修改,是根据比较DLL的时间戳和绑定导入表中的记录的DLL时间戳来判断的,如果不一致,说明DLL被修改了。

加载程序时,操作系统根据导入表中的时间戳来判断程序是否使用了绑定导入。当时间戳为0,表示不使用绑定导入表;当时间戳为0xFFFFFFFF,说明该程序使用绑定导入。

对于使用绑定导入的程序,绑定导入表存储在最后一个节表后面,如图示:
在这里插入图片描述

二、绑定导入表的结构

在这里插入图片描述

绑定导入表结构:

typedef struct _IMAGE_BOUND_IMPORT_DESCRIPTOR {
   
    DWORD   TimeDateStamp;
    WORD    OffsetModuleName;
    WORD    NumberOfModuleForwarderRefs;
// Array of zero or more IMAGE_BOUND_FORWARDER_REF follows
} IMAGE_BOUND_IMPORT_DESCRIPTOR,  *PIMAGE_BOUND_IMPORT_DESCRIPTOR;

TimeDateStamp 是时间戳,用于和DLL中的时间戳比较,判断DLL是否已经发生变化;
OffsetModuleName 是当前模块名距离第一个 _IMAGE_BOUND_IMPORT_DESCRIPTOR 的偏移。
NumberOfModuleForwarderRefs 是该模块依赖的模块数量;

依赖模块结构:

typedef struct _IMAGE_BOUND_FORWARDER_REF {
   
    DWORD   TimeDateStamp;
    WORD    OffsetModuleName;
    WORD    Reserved;
} IMAGE_BOUND_FORWARDER_REF, *PIMAGE_BOUND_FORWARDER_REF;

除了第三个属性保留,其他与 _IMAGE_BOUND_IMPORT_DESCRIPTOR 相同。

三、打印绑定导入表

// 打印绑定导入表
VOID PrintBou
最低0.47元/天 解锁文章
hambaga
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于绑定导入
abns44296的博客
03-24 745
0x01 绑定导入概念 绑定导入(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入并将相关DLL映射到进程空间地址。然后通过遍历IA...
滴水三期:day40.1-绑定导入
Edimade的博客
04-19 346
一、引入绑定导入 > 二、绑定导入(1.定位 > 2.绑定导入结构 > 3.作用)> 三、作业(1.打印绑定导入
13.PE文件之绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3853
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
PE文件学习笔记(五):导入、IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
修复PE 文件导入
09-02
在程序加载到内存时,操作系统会根据导入对这些函数进行解析绑定,以便程序能够正确执行。 修复PE文件的导入通常是因为某些原因导致导入损坏或不完整,例如病毒攻击、恶意软件篡改或文件传输过程中出现问题...
PE导入-函数列-HASH值
03-13
当程序加载时,操作系统会解析这个,将函数地址绑定到程序的内存空间,使得程序能够正确调用这些函数。PE导入包含以下信息: - 导入库(DLL)的名字 - DLL中导出函数的名字 - 函数的序号(ordinal)或者名称...
延迟导入w.zip
04-01
延迟导入是PE文件中一个关键的特性,它允许程序在运行时而不是加载时解析绑定DLL引用。这种机制提高了程序的启动性能,因为不是所有的DLL都需要立即加载。下面我们将深入探讨延迟导入的概念、工作原理以及相关...
内存加载驱动处理重定位和导入
06-11
在驱动加载时,PE加载器会解析导入,找到函数的实际地址,并填充到IAT中。如果依赖的函数在动态链接库(DLL)中,加载器还需要加载相应的DLL,并完成函数地址的解析。 在处理导入时,有几种不同的方法: 1. **...
json复杂数据解析demo
11-22
解析过程中,需要注意类型转换,特别是当需要将JSON数据绑定到特定数据模型时。 5. **思维导图辅助理解**:在本示例中,提供了解析过程的思维导图,这是一种很好的辅助工具,可以帮助我们清晰地理解数据结构,...
PE文件格式学习(十四):绑定导入
11-08 184
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导...
PE文件格式学习(十四):绑定导入(BoundImportDirectory)
tutucoo
11-08 891
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导入的DLL...
PE-导入
megaparsec
12-19 1922
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5431
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
绑定导入
若面朝大海边竹妮春暖花开的博客
05-15 215
我们之前分析过导入,在PE文件加载前IAT和INT相同,只有文件加载后才能根据INT通过序号或名称使用GetProcessAddress函数获得函数地址贴到IAT中 我们观察记事本程序,记事本程序在PE文件加载前就把函数地址贴到IAT中了。这种情况叫做绑定导入 这样做的好处是程序运行快,坏处是万一dll没有占住要使用的ImageBase,会出现错误,还有万一dll被修改了,值会发生改变 如果导入中的时间戳为0代dll的所有函数地址还没有绑定,当时间戳为-1时,意味着函数地址已经被绑定 那么
PE结构(四) 绑定导入
weixin_37673331的博客
02-29 474
1.关于绑定导入 一般情况下,在程序加载前IAT和INT中的内容相同,都是程序引用的dll中的函数的函数名或序号; 加载完成后IAT中将替换为函数的真正地址; 但在加载前IAT中直接写绝对地址是可以实现的; 加载前在IAT中保存绝对地址的优点:启动程序快; 在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT修复为地址等等; 如果直接用绝对地址,则省去了修复IAT的操作...
Windows PE 第四章 导入
天使也掉毛
10-07 3735
Windows PE 第四章 导入
无法解析导入“gi.repository”
最新发布
07-11
无法解析导入"gi.repository"的错误通常发生在尝试导入未安装或不可用的模块时。"gi.repository"是用于访问GObject Introspection库的Python模块。 要解决这个问题,你需要确保已经正确安装了GObject Introspection...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值