IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题

最新推荐文章于 2024-05-03 16:52:16 发布
最新推荐文章于 2024-05-03 16:52:16 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: PE文件结构学习 文章标签: image import header microsoft exception security
  IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题
今天读取了ws2_32.dll的PE格式
在读取到image_nt_header32.OptionalHeader.DataDirectory[11]时
也就是IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT数据目录

看下面数据目录 
      Name            RVA                   SIZE
1    Export           $1404                $11ED
2    Import           $125E8              $78
3    Resource     $15000               $3F8
4    Exception     $0                       $0
5    Security        $0                      $0
6    Base Reloc  $16000               $DC8
7    Debug          $130F4              $38
8    Copyright     $0                      $0
9    Global Ptr    $0                       $0
10  TLS             $0                       $0
11  Load Config  $BC90  $40
12  Bound Import $288  $74
13  IAT    $1000  $1D4
14  COM    $12528  $40
15  Delay Import $0   $0
16  (reserved)  $0   $0

再看一下节表
 Name VSize  VAddress
1 .text $12153 $1000 $12200 $400 $0 $0 0 0 $60000020 CER
2 .data $914 $14000 $A00 $12600 $0 $0 0 0 $C0000040 IRW
3 .rsrc $3F8 $15000 $400 $13000 $0 $0 0 0 $40000040 IR
4 .reloc $DC8 $16000 $E00 $13400 $0 $0 0 0 $42000040 IDR
 VirtualAddress 0x00000288

image_nt_header32.OptionalHeader.DataDirectory[11].VirtualAddress是0x00000288
image_nt_header32.OptionalHeader.DataDirectory[11].Size是0x00000074

但是看各个节的VAddress 好像都大于0x00000288 (最小的就是.text $1000)
那请问我应该怎样找到image_nt_header32.OptionalHeader.DataDirectory[11].VirtualAddress所指向的内容呢?

 

http://blog.csdn.net/cay22/article/details/7234258 

(关于IAT解析中有对IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT的说明)

 

看一些问答
http://bbs.pediy.com/showthread.php?t=90795
--------------------------------------------------------------------------------
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT这个是做什么用的,我在exe中将这条信息摸掉,
包括这个地址目标位置信息摸掉也能运行,那么它起什么作用呢?另外在PE变形中,也经常吧它清0,这个是为什么呢?
--------------------------------------------------------------------------------
bound import。当PE装载器装入PE文件时,检查引入表并将相关DLLs映射到进程地址空间。然后象我们这样遍历IMAGE_THUNK_DATA 数组并用引入函数的真实地址替换IMAGE_THUNK_DATAs 值。这一步需要很多时间。如果程序员能事先正确预测函数地址,PE装载器就不用每次装入PE文件时都去修正IMAGE_THUNK_DATAs 值了。Bound import就是这种思想的产物。为了方便实现,Microsoft出品的类似Visual Studio的编译器多提供了bind.exe这样的工具,由它检查PE文件的引入表并用引入函数的真实地址替换IMAGE_THUNK_DATA 值。当文件装入时,PE装载器必定检查地址的有效性,如果DLL版本不同于PE文件存放的相关信息,或则DLLs需要重定位,那么装载器认为原先计算的地址是无效的,它必定遍历OriginalFirstThunk指向的数组以获取引入函数新地址。

http://blog.csdn.net/qq276592716/article/details/6956027
(PE区段添加编写中的一点心得~ .)
pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size=0;
pNTHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress=0;
上面这两行是平常在其他加区段的代码中不常见的,比如zapline的添加区段代码。如果没有上面这两句,那么对一些有bound iat的程序加壳后不能运行。
原因是IMAGE_BOUND_IMPORT_DESCTIPTOR结构中的OffsetModuleName变量存放的是与第一个IBID结构之间的偏移(不是RVA)。当你加了个新区段后,这个偏
移改变了,所以加壳就失败了~~

http://hi.baidu.com/viruswizard/blog/item/440d20816fb986de9023d964.html
/*添加节的代码,By VirusWizard
以前写过加节的,当初写的代码死活无法给Windows自带的记事本加节。
原因是最后一个节后面的空间不足。但是发现不少壳能给记事本加节,而且位置不变。
于是今天用AsPack做了头部的二进制比较,结果发现,SectionHeaders后面原来是IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT。
这些数据没啥用,抹掉用来加节。呵呵。这样能加的节的个数应该很多,直到第一个Section的RAW为止。
*/
BOOL CLkPackDlg::AddSection(PIMAGE_NT_HEADERS pNtHdrs,DWORD dwRawSize)
{
        PIMAGE_SECTION_HEADER pNewSec = NULL;
        PIMAGE_SECTION_HEADER pSec = IMAGE_FIRST_SECTION(pNtHdrs);
        PIMAGE_SECTION_HEADER pLastSec = NULL;

        DWORD dwNewSecAlign;
        DWORD dwNewFileAlign;

        //
        pNewSec = (PIMAGE_SECTION_HEADER)
                 ( (DWORD)pSec + pNtHdrs->FileHeader.NumberOfSections * sizeof(IMAGE_SECTION_HEADER) );

        pLastSec = (PIMAGE_SECTION_HEADER)
                 ( (DWORD)pNewSec - sizeof(IMAGE_SECTION_HEADER) );

        dwNewSecAlign = AlignSize(
                pLastSec->VirtualAddress + pLastSec->Misc.VirtualSize,
                pNtHdrs->OptionalHeader.SectionAlignment
                );
        dprintf(L"dwNewSecAlign : 0x%08X.\n",dwNewSecAlign);

        dwNewFileAlign = AlignSize(
                pLastSec->PointerToRawData + pLastSec->SizeOfRawData,
                pNtHdrs->OptionalHeader.FileAlignment
                );
        dprintf(L"dwNewFileAlign : 0x%08X.\n",dwNewFileAlign);

        //modify SizeOfImage
        pNtHdrs->OptionalHeader.SizeOfImage += AlignSize(
                dwRawSize, pNtHdrs->OptionalHeader.SectionAlignment );

        memcpy(pNewSec->Name,".VirWizd",8);
        pNewSec->VirtualAddress = dwNewSecAlign;
        pNewSec->Misc.VirtualSize = dwRawSize;
        pNewSec->PointerToRawData = dwNewFileAlign;
        pNewSec->Characteristics =
                IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_WRITE;

        pNewSec->SizeOfRawData = AlignSize(
                dwRawSize,
                pNtHdrs->OptionalHeader.FileAlignment
                );
        pNtHdrs->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size = 0;
        pNtHdrs->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress = 0;
        pNtHdrs->FileHeader.NumberOfSections++;
        return TRUE;
}

DWORD CLkPackDlg::AlignSize(DWORD nSize, DWORD nAlign)
{
        return ( (nSize + nAlign - 1) / nAlign * nAlign );
}

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

小大小丑
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fenzhixianjie.rar_1背包问题_Branch and bound_fenzhixianjie_knapsack
09-14
0/1背包问题的优先队列式分支限界算法程序
PE文件格式学习(十四):绑定导入表(BoundImportDirectory)
tutucoo
11-08 880
1.介绍 绑定导入表的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入表中的dll文件,并将导入表的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入表中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入表,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入表的生效,有两个前提条件: 程序初始化时,导入的DLL...
IMAGE_DIRECTORY_ENTRY_RESOURCE
我爱密码学
08-07 5152
/**//* * Predefined Resource Types */#define RT_CURSOR           MAKEINTRESOURCE(1)#define RT_BITMAP           MAKEINTRESOURCE(2)#define RT_ICON             MAKEINTRESOURCE(3)#define RT_MENU        
关于绑定导入表
abns44296的博客
03-24 731
0x01 绑定导入表概念 绑定导入表(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录表就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入表并将相关DLL映射到进程空间地址。然后通过遍历IA...
13.PE文件之绑定导入表(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3788
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入表,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT表的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入表定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
IMAGE_EXPORT_DIRECTORY
夜空中最亮的星
10-30 2641
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //creation time date stamp WORD MajorVersion; WORD MinorVersion; DWORD Name; //address of library file
bound-constrained_SVM.rar_SVM_svm matlab
07-14
bound-constrained SVM
bound2eight.rar_bound2eight_image processing_matlab图像处理_图像处理_图形处
07-14
图形图像处理 图形图像处理 图形图像处理 图形图像处理 图形图像处理
8_2.rar_Press On!
09-24
Design a program to realize the application of bitmap resource. 1) Load a bitmap(you can use can bitmap download the Internet) to center of the window and the size ...bound of the window, some warning te
IO_l2.rar_The Method Method
09-20
Implementation of Branch and bound method for the Travelling salesman problem
PE文件学习笔记(五):导入表、IAT、绑定导入表解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入表(Import Descriptor)结构解析:导入表是记录PE文件中用到的动态连接库的集合,一个dll库在导入表中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入表即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
PE总结12---PE文件结构之资源表 (IMAGE_RESOURCE_DIRECTORY
oBuYiSeng的博客
12-11 7127
资源在PE中是以目录的形式存在的,一般有3层:资源类型,目标资源ID与资源代码页 都是以IMAGE_RESOURCE_DIRECTORY结构为头部的,并且后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。 IMAGE_RESOURCE_DIRECTORY,负责指出后面数组中的成员个数 IMAGE_RESOURCE_DIRECTORY_ENTRY,数组成员分
全面学习SpringCloud框架指南
finally_vince的博客
05-03 1158
V 哥建议:如果你正在学习SpringCloud,你可以把这篇文章作为学习指南,如果你已经学过了,可以查漏补缺,因为 V 哥这篇文章全面介绍了SpringCloud的方方面面,当然你还需要结合官方文档的细节和源码部分去学习,成功拿下SpringCloud不是问题。加油兄弟!
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar
05-09
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar 【项目技术】 开发语言:Java 框架:ssm+jsp 架构:B/S 数据库:mysql 【演示视频-编号:420】 https://pan.quark.cn/s/b3a97032fae7 【实现功能】 实现了员工基础数据的管理,考勤管理,福利管理,薪资管理,奖惩管理,考核管理,培训管理,招聘管理,公告管理,基础数据管理等功能。
node-v6.12.0-linux-ppc64le.tar.xz
最新发布
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.8.0-linux-ppc64le.tar.xz
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明(高分).zip
05-09
基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源
node-v6.12.2-linux-s390x.tar.xz
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
windows PE IMAGE_DIRECTORY_ENTRY_IMPORT
06-04
`IMAGE_DIRECTORY_ENTRY_IMPORT`是Windows可执行文件PE格式中的一个数据目录项,用于存储导入表(import table)信息。导入表指定了可执行文件所依赖的动态链接库(DLL)及其导出函数的名称。这些信息在程序运行时被加载到内存中。 `IMAGE_DIRECTORY_ENTRY_IMPORT`目录项的结构体定义如下: ``` typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA) } DUMMYUNIONNAME; DWORD TimeDateStamp; // 0 if not bound, // -1 if bound, and real date\time stamp in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND) // O.W. date/time stamp of DLL bound to (Old BIND) DWORD ForwarderChain; // -1 if no forwarders DWORD Name; DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses) } IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR; ``` 其中,`OriginalFirstThunk`指向一个`IMAGE_THUNK_DATA`数组,该数组中存储了导入函数的名称和序号。当程序被加载到内存中时,该数组中的名称和序号将被替换为实际的函数地址。`FirstThunk`则是导入地址表(IAT)的地址,该表中存储了实际的函数地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值