PE文件结构 - 导入表结构

最新推荐文章于 2022-03-19 15:59:19 发布
最新推荐文章于 2022-03-19 15:59:19 发布
阅读量1k 收藏
点赞数 1
分类专栏: 逆向笔记 文章标签: PE文件结构 导入表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/antihips/article/details/52537892
版权

最近在复习PE文件结构,被导入表绕了一把,于是又仔细的分解了一把,整理下思路。

至于导入表的解析,这个很简单,我们要学的是把架构理解清楚,明白文件和内存镜像的区别。

首先我们来看一张图:

 

 

这是在文件中导入表的结构,IMAGE_DIRECTORY_ENTRY_IMPORT 中的 OriginalFirstThunk 指向一个INT表,而FirstThunk指向的是IAT表,IAT表中存的也是一个指向最终IMAGE_IMPORT_BY_NAME结构的RVA指针,也就是PIMAGE_THUNK_DATA。

 

下面我们来看看程序运行时的状态:

 

这个时候其他的没变,但是IAT表全部被系统替换成函数的实际地址,不再是指向IMAGE_IMPORT_BY_NAME结构。

我们来看看函数是怎么调用的:

 

call dword ptr ds:[00C8502Ch]

这个00C8502Ch是什么呢?

 

 

这个正好是IAT中的一个项,而这个项中的值已经被系统替换成 GetModuleHandleW的真实地址,call 这个直接跳到 kernel32.dll -> GetModuleHandleW 处,完成函数调用。

___stdcall
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件导入解析(C++)
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE结构导入
不会写代码的丝丽
03-19 351
首先放一张PE结构 导入放在数据目录数组中,所以我们先介绍这个数组相关结构。 首先有4个字节指示这个数组大小,然后再接上数组元素。 每一项数组的结构体 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //内存的虚拟地址 DWORD Size;//大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 上面的示意义:的在VirtualAddress内存处大小为
PE结构导入中的双桥结构
weixin_43742894的博客
05-15 1089
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件导入》:https://blog.csdn.net/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
PE结构导入/出 类封装
12-18
PE结构导入/出 类封装 里面有备注 调用方式 将文件导入至工程 引用头文件后 直接调用即可 ExePath 为Pe文件路径 CPE * pe = new CPE(ExePath); if (!pe->Initialize()) { MessageBox(_T("PE初始化失败")); ...
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构的解析,数据目录解析,导出导入,资源等常见的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想...
PE文件结构的一个解释类以及获取所有的导入函数
11-20
美籍匈牙利科学家冯•诺依曼最新提出程序存储的思想,具体到研究PE文件格式,或许可以是运行程序所需的指令和数据是以怎样的组织结构存贮在文件的,在运行时程序是怎样被加载的,数据是怎样初始化的。
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
Pe文件结构图和Pe信息查看工具,用c++和纯sdk写的,可以查看节导入导出,资源,重定位信息以及Rva和Offset之间的转换等
C++的PE文件操作类
08-01
C++的PE文件操作类,读取PE文件信息,导入,导出,可以写出iatHook
PE文件结构
weixin_33916256的博客
02-22 63
PE头 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; PE头标识 为固定的ascii码 PE\0\0 IMAGE_FILE_HEADER FileHeader; 标准PE头 IMAGE_OPTIONAL_HEADER OptionalHeader; 扩展PE头 } IM...
PE文件结构(一)
weixin_33924770的博客
09-20 90
PE文件结构(一) 学习PE的工具[url]http://bbs.pediy.com/showthread.php?s=&threadid=22840[/url]一、前言(Preface)------------------PE(“portable executabl...
PE-导入
megaparsec
12-19 1749
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件 - 导入
weixin_45012273的博客
11-11 1210
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE文件的基本结构-4 导入
zhangxinrun的专栏
08-24 989
<br />导入的位置和大小可以从PE文件头中IMAGE_OPTIONAL_HEADER32结构的数据目录字段中获取,对应的项目是DataDirectory字段的第2个IMAGE_DATA_DIRECTORY结构,从结构的VirtualAddress字段得到导入的RVA值。<br />导入由一系列的IMAGE_IMPORT_DESCRIPTOR结构组成,结构的数量取决于程序要使用的DLL文件的数量,每个结构对应一个DLL文件,在所有这些结构的最后,由一个内容全为0的IMAGE_IMPORT_DESCR
PE文件结构-导入详解
wxf明的博客
12-30 1540
PE文件运行时,PE文件将被系统加载进入内存中,此时Windows加载器会定位所有的导入的函数或者将定位到的内容填写到可执行文件的某个位置供使用,这个定位是需要借助于可执行文件导入来实现的。导入中存放了所使用的DLL模块名称及导入函数的名称或者函数序列。 在PE文件中定位到PE头部的可选头的位置,可选头IMAGE_OPTIONAL_HEADER中最后一个成员: IMAGE_DATA_DI...
pe文件结构
zhihu008的专栏
07-29 4889
本部分内容:/文件解说/PE剖析图/W32dasm反汇编参考/PE剖析中所用结构参考     大家都很清楚,了解可执行文件结构有多么的重要,DOS下如此,Windows下也同样如此。如果你想加密程序,编写病毒等,了解PE文件结构必是不可缺少的。大家也可能见到很多这方面的资料,但都是从理论上解说一下,很少见到拿一个具体文件开刀的。这里,我就用前面“系列4”中的文件4.EXE为例来剖析一下PE
PE结构那个字段可以找到导入
最新发布
06-04
PE文件格式中的导入(import table)信息存储在可执行文件的数据目录中,具体来说是存储在`IMAGE_DIRECTORY_ENTRY_IMPORT`目录项中。该目录项的值可以在PE文件的NT头中找到,NT头是PE文件格式中的一个结构体,包含了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值