【PE文件】导入表

最新推荐文章于 2022-11-01 23:28:52 发布
最新推荐文章于 2022-11-01 23:28:52 发布
阅读量207 收藏
点赞数
原文链接:http://www.cnblogs.com/SunsetR/p/11192555.html
版权

1、数据目录表第二个成员指向导入表 IMAGE_DATA_DIRECTORY[1] -> IMAGE_DIRECTORY_ENTRY_IMPORT。

2、导入表以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始。并且一个DLL文件对应一个IID结构,最后以一个全0的IID结构作为结尾。有多少个IID就有多少个DLL被导入。

 1 struct _IMAGE_IMPORT_DESCRIPTOR 
 2 {
 3     0x00 union 
 4     {
 5         0x00 DWORD Characteristics;
 6         0x00 PIMAGE_THUNK_DATA OriginalFirstThunk;    //INT导入名称表Rva
 7     } u;
 8     0x04 DWORD TimeDateStamp; 
 9     0x08 DWORD ForwarderChain;
10     0x0c DWORD Name;                                  //DLL名称字符串指针Rva
11     0x10 PIMAGE_THUNK_DATA FirstThunk;                //IAT导入地址表Rva
12 };

3、INT和IAT均指向一个IMAGE_THUNK_DATA 结构体数组,数组以一个全0元素结尾。每个IMAGE_THUNK_DATA 结构体都指向一个IMAGE_IMPORT_BY_NAME结构体。有多少个IMAGE_THUNK_DATA 结构体该DLL就有多少个函数被导入。

当IMAGE_THUNK_DATA 结构体最高位为1时,表示函数以序号导入,此时低31位被看成函数序号使用。

当IMAGE_THUNK_DATA 结构体最高位为0时,表示函数以名称导入,此时AddressOfData是一个指向IMAGE_IMPORT_BY_NAME结构体的Rva。

PE文件加载前:INT和IAT均指向不同的IMAGE_THUNK_DATA 结构体数组,但它们都保存着导入函数的序号和名称信息。

PE文件加载后:IAT指向导入函数的实际调动地址。

 1 struct _IMAGE_THUNK_DATA 
 2 {
 3     union 
 4     {
 5         0x00 LPBYTE ForwarderString;
 6         0x00 PDWORD Function;
 7         0x00 DWORD Ordinal;                          //导入函数序号
 8         0x00 PIMAGE_IMPORT_BY_NAME AddressOfData;    //IMAGE_IMPORT_BY_NAME 结构Rva
 9     } u1;
10 }; //占用4字节
1 struct _IMAGE_IMPORT_BY_NAME 
2 {
3     0x00 WORD Hint;           //1字节
4     0x02 BYTE Name[1];        //n字节 函数名称字符串
5 };

 

转载于:https://www.cnblogs.com/SunsetR/p/11192555.html

bailing1370
关注
PE文件导入
weixin_43742894的博客
04-01 1875
一个PE文件中的导入,简单来说就是代了该模块调用了哪些外部的API。 导入是逆向和病毒分析中比较重要的一个,在分析病毒时几乎第一时间都要看一下程序的导入的内容,判断程序大概用了哪些功能。
12.PE文件导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5716
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE-导入
megaparsec
12-19 2015
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件解析(4):导入的解析
ylh的博客
11-01 898
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
修复PE 文件导入
09-02
"PEConsole"可能是一个包含示例代码的VS2003工程,提供了修复PE文件导入的功能。通过查看和学习这个工程,我们可以更深入地理解导入的结构以及如何进行修复操作。在实际应用中,这样的工具对于调试、逆向工程、...
PE文件导入解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件导入,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
改写PE文件导入加载DLL
03-18
理解PE文件结构及其导入对于逆向工程、软件安全分析和恶意软件研究至关重要。本文将深入探讨如何改写PE文件导入来实现DLL的加载。 首先,我们需要了解PE文件导入结构。导入包含以下几个关键部分: 1. ...
打印PE文件导入(C语言代码)
lygl35的博客
07-07 410
打印导入 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
PE(64位)文件导入
玄道的网安博客
01-06 1722
导入PE文件中一个重要的项,负责声明从其他的库中调入函数。一般代着这个PE文件使用了哪些其他库的函数。 首先我们先了解下几个名词: PE文件PE结构的文件,一般为可执行程序,.exe、.dll、.sys、.vxd、.ocx、.com等。 VA(Virtual Address): 虚拟地址,代PE文件映射进内存之后的地址。 RVA(Reverse Virtual Address):相对虚拟地址,对于PE文件映射进内存之后相对基地址偏移。 FOA(File Offset Addres..
PE文件导入
03-29
打印PE文件导入信息 vs2005编译通过;
PE文件 - 导入
weixin_45012273的博客
11-11 1318
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE文件导入
LX的专栏
09-26 1017
<br />   在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .idata 段,等等。文本讲述的是把一个PE文件导入打印出来。我注意到 MS 提供了一个
PE文件(1)导入
nyzdmc的博客
03-02 748
PE文件(1)导入 概念 导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。 对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 文件被装入内存后,Windows的 加载器才将相关DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来。 这就是“动态链接”的概念。动态链接是通过PE 文件...
PE文件:(3)导入
weixin_43972499的博客
04-07 421
导入导入的概念导入的结构手动加载导入参考代码 导入的概念   可执行文件在进行加载时,需要导入一些动态库,即Dll文件。通过导入这些动态库,我们可以使用文件中提供的函数和功能,来为我们的可执行文件服务。这些Dll中的函数就称为导入函数。为了记录需要的动态库和导入函数,可执行文件在可选头的数据目录中维护了一张,这张记录了文件需要的所有动态库以及导入函数的信息,方便Windows加载器在加载PE文件时使用。这张就是所谓的导入,它被存储在数据目录的第二项。   可执行文件在使用动态库中的函数和代
Windows PE 第四章 导入
天使也掉毛
10-07 3792
Windows PE 第四章 导入
PE文件学习--导入
KOOKNUT的博客
06-27 498
写在前面的话:今年疫情在家,才开始在CSDN与各位大佬们分享交流技术,最近一个月返校之后,一直忙碌于学校课设和期末考试的备考(毕竟平时不怎么听课),所以博客几乎一个多月没有更新,最近只剩下一门考试了,今天小库又回来了。 之前有关PE文件的知识好像更新到了导出,今日来看看导入。 我们提到导入,最常说的就是导入的双桥结构 先来看一下导入描述符结构体IMAGE_IMPORT_DESCRIPTOR typedef struct _IMAGE_IMPORT_DESCRIPTOR { union
PE文件导入详解
只为改变自己
05-03 1146
PE导入详解
PE文件导入简介
weixin_43575859的博客
03-12 281
我们在编写程序的时候经常要导入外部的一些函数,通常我们只需要将包含函数的模块导入进来,然后我们直接用函数的名字就可以调用函数了。那么这具体是怎么做到的呢? 当我们使用动态链接库中的函数,只有在程序运行时,库里面的代码才会被调入内存,程序不运行时程序只包含了一些关于要导入的链接库和函数的信息,这些信息就在导入中。(如果有多个程序使用同一个动态链接库,WIndows在物理内中只留一份库的代码,仅通...
c++ 修正pe导入
最新发布
05-16
PE导入PE文件中的一个重要部分,它记录了PE文件所依赖的外部函数和库文件。如果导入出现错误,将会导致程序无法正常运行或者崩溃。下面是修正PE导入的一些方法: 1. 使用修复工具:有一些专门的PE修复工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值