PE文件格式分析系列(文章1)----一个PE文件导入表数据的分析(MFC工程调试版)

最新推荐文章于 2022-02-08 18:45:07 发布
最新推荐文章于 2022-02-08 18:45:07 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: PE文件结构学习 文章标签: mfc descriptor import image c dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bagboy_taobao_com/article/details/7686701
版权
本文详细分析了一个PE文件的导入表数据,揭示了其使用了6个DLL,并探讨了IMAGE_IMPORT_DESCRIPTOR结构及其OriginalFirstThunk字段。通过内存地址解析,展示了不同DLL的导入函数信息,并探讨了数据对齐和IAT数据的特点。文章最后总结了导入表数据的排列顺序及注意的细节。
摘要由CSDN通过智能技术生成

PE文件格式分析系列(文章1)

一个PE文件导入表数据的分析(MFC工程调试版)
一. 该PE文件使用了6个DLL
分别是:
1. mfc42d.dll
2. msvcrtd.dll
3. kernel32.dll
4. user32.dll
5. mfco42d.dll
6. msvcp60d.dll

故有6个 IMAGE_IMPORT_DESCRIPTOR (IMAGE_IMPORT_DESCRIPTOR结构大小是0x14)
在PE文件中, (IMAGE_DIRECTORY_ENTRY_IMPORT 数据目录)
第4个段 .idata 0x1B95(实际数据大小) 0x27000(文件中位置) 0x2000(文件对齐大小)
也就是说.idata段在0x27000---0x29000(0x27000---0x28B95是有用数据)
7个 IMAGE_IMPORT_DESCRIPTOR 结构数据
7个 0x14 * 7 = 0x8C(0x27000 -- 0x2708C) (第7个全0)
00027000 |+EC 70 02 00 00 00 00 00 | 1. mfc42d.dll
00027008 | 00 00 00 00 34 7A 02 00 |
00027010 | C0 75 02 00+74 74 02 00 | 2. msvcrtd.dll
00027018 | 00 00 00 00 00 00 00 00 |
00027020 | CC 7A 02 00 48 79 02 00 |
00027028 |+8C 70 02 00 00 00 00 00 | 3. kernel32.dll
00027030 | 00 00 00 00 6C 7C 02 00 |
00027038 | 60 75 02 00+30 75 02 00 | 4. user32.dll
00027040 | 00 00 00 00 00 00 00 00  |
00027048 | 8E 7C 02 00 04 7A 02 00 |
00027050 |+48 73 02 00 00 00 00 00 | 5. mfco42d.dll
00027058 | 00 00 00 00 9A 7C 02 00 |
00027060 | 1C 78 02 00+78 73 02 00| 6. msvcp60d.dll
00027068 | 00 00 00 00 00 00 00 00  |
00027070 | FE 88 02 00 4C 78 02 00 |
00027078 |+00 00 00 00 00 00 00 00 | 7. 空 
00027080 | 00 00 00 00 00 00 00 00  |
00027088 | 00 00 00 00 ----------------  |
紧跟在0002708C 后面的, 就是
IMAGE_IMPORT_DESCRIPTOR.OriginalFirstThunk数据
3. kernel32.dll的IMAGE_IMPORT_DESCRIPTOR.OriginalFirstThunk数据
从 0002708C -- 000270C0    0x0C个 DWORD + 0x1个0的DWORD
0002708C | ----------- AA 7B 02 00 |
00027090 | CE 7B 02 00 DE 7B 02 00 |
00027098 | EC 7B 02 00 FC 7B 02 00 |
000270A0 | 10 7C 02 00 1E 7C 02 00 |
000270A8 | 34 7C 02 00 46 7C 02 00 |
000270B0 | 5A 7C 02 00 C0 7B 02 00 |
000270B8 | 6E 89 02 00 00 00 00 00 |
-------------------------------------------------------------
000270C0 | 00 00 00 00 00 00 00 00 |\
000270C8 | 00 00 00 00 00 00 00 00 | |
000270D0 | 00 00 00 00 00 00 00 00 | |这段数据为0
000270D8 | 00 00 00 00 00 00 00 00 | |
000270E0 | 00 00 00 00 00 00 00 00 | |
000270E8 | 00 00 00 00 ----------- |/
1. mfc42d.dll的IMAGE_IMPORT_DESCRIPTOR.OriginalFirstThunk数据
从 000270EC -- 000272C4    0x75个 DWORD + 0x1个0的DWORD
000270EC | ----------- 83 10 00 80 | 很明显, 0x80001083, 最高位
000270F0 | 85 10 00 80 38 08 0

最低0.47元/天 解锁文章
小大小丑
关注
专栏目录
PE文件格式解析(MFC,C++源码)
04-23
PE文件格式解析(MFC,C++源码),解析的很全,学习PE文件格式必备
PE文件中注入dll
B01814124的博客
08-20 512
0.前提 1.修改导入的RVA值 84CC —— 8C80 0064 —— 0078 ;增加了新导入dll, IID结构体大小 2.删除绑定导入 修改其值为0即可 3.创建新的IDT 将76CC-76EF复写到7E80 在新IDT尾部(7ED0,空数据依然放到最后)添加与MessageBox.dll相关的数据 00 8D 00 00 00 00 00 00 10 8D 00 00 20 8D 00 00 (8D00–7F00 导入名称 函数名称地址 8D10–7F10 名称 dll名称
我的加密数据
qq_25482085的博客
09-19 3万+
B53F45DEB37464CBF8F3451DE7B88398C595A19284EFF1EA05C676BC4C23BB2864D682746C6020E2D43DD9E7AFE1ED19F8CE2CA29E531B4AF84F28FB3789CB5997C9F03EA037F102318C4EF35B4D7B6989D53B4A9C679FC38C1812B5FE69F5D59092412F
用javascript实现Base64编码(解决中文问题C#里解码) 转
weixin_33919950的博客
07-03 2235
因javascript求出来的是Unicode要转换成Ansi后才能对它进行Base64编码   //UnicodeAnsi.js文件//把Unicode转成Ansi和把Ansi转换成Unicodefunction UnicodeChr(){return '00A4,00A7,00A8,00B0,00B1,00B7,00D7,00E0,00E1,00E8,00E9,00EA,00EC,00ED...
PEInfo.rar_pe_pe 文件 分析_peinfo
最新发布
09-21
本项目"PEInfo.rar"是一个基于MFC(Microsoft Foundation Classes)实现的PE文件分析工具,用于查看和解析PE文件的基本信息。 MFC是微软提供的一套C++类库,它封装了Windows API,使得开发者可以更方便地创建...
PE文件格式分析源码C++
09-28
总之,PE文件格式分析是系统级编程中的一个重要课题,而C++和MFC提供了一套强大的工具来处理这类任务。通过深入理解和实践,开发者可以创建自己的PE文件检查工具、逆向工程应用或者对程序进行调试和优化。这不仅要求...
PE文件分析器(自研本)
01-27
通过这个分析器,我们可以检查PE文件的签名、节区、导出和导入、资源、异常处理机制等,对于逆向工程、恶意软件分析以及程序调试等领域都具有重要价值。无论你是初学者还是经验丰富的开发者,掌握PE文件分析都能...
PE文件分析器VC源代码
03-15
总之,"PE文件分析器VC源代码"提供了一个深入了解Windows应用程序工作原理的平台,通过对源代码的学习和实践,开发者可以更好地掌握PE文件的结构,增强系统级编程技能,以及在软件打包和优化时更准确地管理DLL依赖。
微信小程序获取二维码报错:{"errcode":47001,"errmsg":"data format error hint:"}
意外金喜
11-05 7万+
总结:坑坑坑坑坑坑坑坑坑 1、微信小程序获取二维码接口有三个 如图,第一个是生成的普通二维码,第二个和第三个是小程序码,详情请看链接 https://developers.weixin.qq.com/miniprogram/dev/api/open-api/qr-code/createWXAQRCode.html https://developers.weixin.qq.com/min...
PE文件结构详解(四)PE导入
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORTIMAGE_DIRECTORY_ENTRY_BOUND_IMPORTIMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
signature=d6661ffc104d47cc8a8c4281f77bbffc,Hardware/FMUv3_REV_D/__Previews/FMU3_REV_D.PcbDocPreview ...
weixin_29147045的博客
05-29 3万+
[Preview]LargeImageOriginalSize=1000000LargeImageWidth=500LargeImageHeight=500LargeImage=78DAEDDD7F88A4F77D1FF02F48F4BF0882083658588B28CD9238A2C604B2CBD162ACD06954820E85DA252A5608197A843672A2362D97C24...
PE格式解析-区段导入结构详解
走在成长的路上
12-21 1万+
PE格式区段导入的结构详解
探究达梦8中索引数量与磁盘占用,查询和dml的小实验
qq_33637320的博客
07-03 2572
在探究磁盘占用的使用,一般使用查询段的大小来查询数据库对象的磁盘占用,即select sum(a.BYTES) from DBA_SEGMENTS a where a.SEGMENT_NAME in (''),但是这里为了简单方便,我们直接新建一个空间来专门用来测试,从而直接查询空间的占用即可,即select sum(a.BYTES-b.BYTES)/1024/1024 from DBA_DATA_FILES a,DBA_FREE_SPACE b where a.TABLESPACE_NAME=b.TA
一段木马,仅供参考
热门推荐
景山编程-顺道编程
10-31 27万+
<SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000...
图解VC++PE文件解析器源码分析
bcbobo21cn的专栏
07-13 4163
该源码下载自 http://download.csdn.net/download/witch_soya/4979587 1 Understand 分析的图
拿webshell基础方法总结
D1stiny的博客
04-20 3万+
文章目录管理权限拿webshell(进后台)一.正常上传拿webshell:二.数据库备份拿Webshell:三.突破本地验证拿webshell五.上传其他脚本类型拿webshell六.00截断拿webshell七.利用解析漏洞拿webshelliis5.x&6.0的漏洞Apache解析漏洞iis7.0/7.5/nginx<8.03畸形解析漏洞nginx<8.03空字节代码执行...
读取PE文件导入
weixin_34220963的博客
09-08 423
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .ida...
kali 安装 foremost 以及结合一道CTF的MISC题进行运用--含常见文件头补充
qq_51550750的博客
02-08 2986
kali安装 foremost 【1】 终端 使用root权限: 【2】 输入 foremost -h,出现参数说明则安装成功 CTF的MISC题- 刷题网站:攻防世界: https://adworld.xctf.org.cn/ 【1】 下载附件: 【2】 用wireshark打开: 查找flag: 【3】 【4】 根据常见的 文件头:FFD8FF  补充 ------ 常见文件头、文件尾: JPEG (jpg),   文件头:FFD8F
MFC模块-线程状态详解:数据结构与管理
这些状态数据结构的管理涉及到一系列类的交互,它们之间的层次关系清晰地体现在图9-3中。理解并有效地管理这些状态有助于确保应用程序的稳定性和性能,尤其是在复杂的多线程和分布式系统中。 MFC的模块-线程状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值