PE文件解析--导入函数节.rdata

最新推荐文章于 2024-03-16 00:36:12 发布
最新推荐文章于 2024-03-16 00:36:12 发布
阅读量2.5k 收藏 19
点赞数 4
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caoyitong/article/details/125185950
版权

讲导入函数节,就必须介绍一下Datadirectory:

Datadirectory放在可选文件头optional_header里面,有16个项,每项8字节,里面存放的是每个导入函数节,导出函数节等节的信息。

可选文件头optional_header:

 例如:

14 20 00 00 3c 00 00 00

前4位:代表该节的RVA,14 20 00 00RVA=0002014

后4位:代表该节的大小,0x0000003c=60

下面介绍导入函数节里面存放的具体内容:

下面按rdata中存放的顺序介绍,注意此表中的地址是文件地址:

  • IAT/IMPORT Address Table 引入地址表
  1. 在文件中的位置:(通过datadirectory第13项定位)

其RVA(内存)=0x00002000

其RVA(文件)=0x00000600

【内存地址->文件地址:y=x/1000*200+200+x%1000】

  1. 存放内容:

在文件中,放有所有导入函数的名字或序号,与INT一样

在内存中,放有所有导入函数的地址

  1. 求引入函数的个数:

引入API函数个数=IAT大小/4字节-(dll的个数-1)

IAT大小在dataDirectory中,一个IAT表项4字节,-(dll的个数-1)是减去每个dll后面都有一个全0的表项。

  • IDT/IMPORT Directory Table 引入目录表
  1. 在文件中的位置:(通过datadirectory第2项定位)

其RVA(内存)=0x00002014

其RVA(文件)=0x00000614

  1. 存放内容:

引入目录表由一系列IMAGE_IMPORT_DESCRIPTION结构组成,每个表项即为一个IMAGE_IMPORT_DESCRIPTION结构,每个结构(20字节)对应一个DLL文件。最后一项全0表示结束。

所以可以得到,kernel32引入的第一个函数:即INT/NAME/IAT的首地址

INT: RVA(内存)=0x00002050 RVA(文件)=0x00000650 序号

NAME: RVA(内存)=0x00002072 RVA(文件)=0x00000672 名字

IAT:RVA(内存)=0x00002000 RVA(文件)=0x00000600 地址

INT的0x650指向了0X664,IAT的0x600在文件中又指向了0x664(内存0x2064->文件0x664),但如果在内存中会显示真实地址

  1. 求dll的个数?

Dll个数=IDT的大小/20字节-1

IDT大小在datadirectory中,20字节是一个表项的大小,-1是减去最后一个全0的表项。

  • INT/Import Name Table

放有所有导入函数的名字或序号

最高位为0时,函数名引入的方法:

如:Data=00002064,是个RVA值(内存中)

转化为文件中的地址就是,00000664,可以看到该地址下有函数名

  • IMPORT Hints/Names &DLL names

江南无妖
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
PE文件格式分析系列(文章2)----一个PE文件rdata段的分析(Win32工程Release版)(一)
cay22的专栏
06-23 4514
PE文件格式分析系列(文章2) 一个PE文件rdata段的分析(Win32工程Release版)(一) 在分析MFC工程调试版的PE文件时, 导入表在idata段 而这个Win32工程Release版的PE文件, 导入表在rdata段, 并且rdata段不仅包含导入表信息, 还包含了一些常量, 例如一些字符串信息等. 下面先分析idata段. IMAGE_DIRECTORY_ENT
PE】修改PE .rdata 区块属性 修改程序中只读内存
GoingJack博客
04-15 853
前言 Windows下在C语言编程中我们常常关于字符串的操作一个很简单的代码如图所示。 参考 《加密于解密》第十一章内容 int main() { char* str = "helloworld"; str[2] = 'a'; printf("%s\n", str); getchar(); return 0; } 我们编译运行程序得到下面的错误: 这是因为str字符串所指向的数据是位于 PE文件中的.rdata区块的数据。此区块的数据的默认属性为 这个这个程序编
输入数据 输入函数表之二___在.rdata的输入函数
lionzl的专栏
05-18 1330
http://www.pediy.com/bbshtml/bbs7/pediy7-711.htm标 题: 【翻译】输入数据 输入函数表之二___在.rdata的输入函数 发帖人:声声慢 时 间: 2005-02-14 22:59 原文链接:http://bbs.pediy.com/showthread.php?threadid=11155 详细信息:
PE文件格式讲解
qq_43082315的博客
10-08 318
PE文件格式--各个存储的数据类型
PE 文件区段:.text .data .idata .rdata
LYSM
07-22 8629
通常,一个 PE 文件中有 4 个区段: .text:(代码段),可读、可执行 .data:(数据段),存放全局变量、全局常量等 .idata:(数据段),导入函数的代码段,存放外部函数地址。(当然还有 edata ,导出函数代码段,但不常用) .rdata:(数据段),资源数据段,程序用到什么资源数据都在这里(包括自己打包的,还有开发工具打包的) ...
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
以下是对PE文件格式的详细解析。 ### 1. PE文件结构 PE文件由多个部分组成,主要分为DOS头、PE头和区表等关键部分。 - **DOS头**:PE文件起始于一个DOS程序头,这是为了保持与早期DOS系统的兼容性。它包含一个...
pedump_src.rar_PE格式_Pe-file_infector_pe_pe dump_pedump
09-19
"pe_dump"工具则可能是一个用于解析和提取PE文件信息的实用程序,可以帮助分析和理解PE文件的结构,例如查看各的内容、导出函数导入模块等,对于逆向工程和安全研究非常有用。 在源码分析中,我们可以学习如何...
PE文件区段.rar
04-06
8. **扩展知识**:除了基本的PE头和表,PE文件还包含许多其他元素,如导入表、导出表、异常处理表等。深入理解这些元素有助于更全面地解析和操作PE文件。 综上所述,“取PE文件区段”涉及到PE文件结构、解析...
易语言学习-PE加载器(PeLoader)支持库版.zip
07-09
1. PE文件结构:理解PE文件的各个区(Section),如.text、.data、.rdata等,以及它们的作用和内容。 2. 导入和导出表:PE文件中的导入表用于指定程序依赖的其他模块(DLL),导出表则包含可供其他程序调用的函数...
R软件编程基础操作示例.RData
08-11
R是用于统计分析、绘图的语言和操作环境。R是属于GNU系统的一个自由、免费、源代码开放的软件,它是一个用于统计计算和统计制图的优秀工具。
data section .data/.rdata of PE file(.sys)
rayn2012的专栏
03-13 1630
转自http://blog.csdn.net/zoudaokou2006/article/details/5698343 Name Description .text The default code section. .data The default read/write data
修改PE文件.rdata段属性, 使常量区可写
谢绝留言与私信
11-13 3291
构造一点错误代码,向字符串存储的常量区(.rdata)写数据,使OS报0xC0000005错误. /// @file exam_test.cpp /// @brief 修改PE文件.rdata段属性, 使常量区可写 #include #include #include void fnTest(); int main() { fnTest(); return 0; } vo
R语言基础_数据导入&保存
y_beiyi的博客
04-22 6282
数据分析文件常用的储存格式为CSV(.csv)和EXCEL(.xlsx),其余文件格式包括R格式(.RData)、SPSS(.sav),SAS(.sas7bdat)等。 1.读取数据 (注:R大小写敏感,“View"不可以写作"view”) ...
RData的保存与加载
热门推荐
u011375991的博客
09-14 1万+
最好的存储R中数据的格式是保存为".RData"。.RData(也称为.rda文件)是R专属的文件,可以保存海量文件。 .rds(Rdsfiles store a single R object.)和.Rdata(也称为.rda)文件,可以用于以R原生格式存储R对象。与非本地存储方法(例如,write.table)相比,以这种方式保存有多个有点, 将数据恢复到R中速度更快(it is faster to restore the data to R) 它将 R 特定信息编码在数据中(例如,属性、变量类.
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2081
什么是PE文件PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
PE文件详解之块表
知其所以然
09-03 1358
先来看看PE文件框架结构,多看几遍,就不陌生啦     按照进度,今天该学习块表啦。    PE文件到内存的映射。           在执行一个PE文件的时候,Windows并不是在一开始就将整个文件读入内存,而是采用域内存映射文件机制类似的机制。           换而言之,Windows加载器在装载的时候,仅仅是建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个
使用R读取.Rdata文件并导出为tif格式
最新发布
BacktoHeart的博客
03-16 354
刚拿到Rdata格式的气象数据,第一次处理有点懵,特记录一下步骤。使用R语言对.Rdata格式的气象数据进行读取、选择日期、投影、裁剪等操作,最后导出为tif文件
如何从PIMAGE_IMPORT_DESCRIPTOR,得到某个API函数导入函数)代码地址
lessonzhe的专栏
04-24 3776
//功能:得到某个API函数导入函数)代码地址//参数://pImport: PIMAGE_IMPORT_DESCRIPTOR//pProcName: 函数名或序号const FARPROC GetFunctionFARPROC( PIMAGE_IMPORT_DESCRIPTOR pImport, LPCSTR pProcName) { PIMAGE_THUNK_DATA pThunk;
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值