【PE结构】5.导入表

最新推荐文章于 2024-04-24 20:27:41 发布
最新推荐文章于 2024-04-24 20:27:41 发布
阅读量1.9k 收藏 7
点赞数 2
分类专栏: PE文件 文章标签: PE结构 导入表 IAT INT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chy_chenyang/article/details/80796643
版权

一、前言
二、PE整体结构
三、DOS头
四、NT头
五、区段头
六、导出表

七、导入表

八、资源表
九、其他表

1.概念

导入 是PE文件(EXE)在运行时,使用到了其他PE文件(DLL)中的函数、变量、类等这样的行为。
导入表 存储的是从其他PE文件(DLL)导入过来的函数名、序号。在加载到内存后,还存储这些函数的地址。
导入表结构 导入表是一个结构体数组,最后以一个结构体大小的全零元素结尾。每一个数组元素代表一个PE文件的导入信息。

PE文件(EXE)通常需要多个PE文件(DLL)的支持,所以导入表一般有多个。

2.导入表定位

前面提到的 NT头->扩展头->数据目录表->第个元素->相对虚拟地址(RVA)
还用010Editor打开百度云盘看一下
这里写图片描述
从扩展头里的数据,我们就可以得到导入表的定位信息RVA

最低0.47元/天 解锁文章
SMOne_Z
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构-导入
小喇叭儿滴滴的吹
02-13 413
首先就是确定如何定位导入的位置,导入是位于数据目录项的第二项 前四个字节为相对虚拟地址(RVA),后四个字节为大小(这里做个参考,不依赖) 好了,既然是RVA,那么说的就是内存中情况,那么如何在文件中定位到导入位置呢,这里我们则需要做的就是将RVA转换为FA,这里的话就大致来说明一下,不清楚的可以参考下其他博客 先来看一下节区的分布情况,有2个节,分别在0x1000处和0x2000...
2.5 PE结构导入详细解析
CSDN
09-05 1万+
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE文件的导入,动态链接库中的函数应该如何导入
最新发布
yjh_fnu_ltn的博客
04-24 1124
(第一个位置的函数已经被导入),结合内存中的值可以说是一模一样,后面的函数一次再INT中取值,找到对应的函数名,通过GetProcAddress方法拿到对应函数的地址,再将其填入IAT,一致循环知道INT被拿完,则所需的kernel.dll动态链接库中的全部函数均导入完毕。另外,再代码中我们可以看到,调用动态链接库导入的函数,都是以取一个地址后,call该地址处的值来进行调用,而不是直接call函数的地址,为什么要进行一次。的起始地址,后续共kermel.dll需要导入的23个函数全部导入到内存中。
PE-导入
megaparsec
12-19 1923
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
导入
qq_41232519的博客
09-05 509
文章目录一、 导入(出)二、导入三、导入结构(20个字节)四、导入名字 一、 导入(出) 导入在扩展PE头_IMAGE_DATA_DIRECTORY DataDirectory[16]中,每个结构体都是8个字节 二、导入 IMAGE_DIRECTORY_ENTRY_IMPORT struct _IMAGE_DATA_DIRECTORY { 0x00 DWORD VirtualAddress; //导入的地址 0x04 DWORD Size; //大小 }; 三、导入结构(20个字
关于导入
zzx的博客
12-14 928
写一篇关于导入的文章。 逆向脱壳,找到入口点之后,dump。一般都会遇到要修复导入的问题,因而了解导入就有必要。 首先说一下什么是导入,百度百科给出的解释是 Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用
PE文件解析(4):导入的解析
ylh的博客
11-01 848
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
PE结构查看.rar
04-05
5. **导入**:PE文件可能需要使用其他DLL提供的功能,导入列出了这些依赖项。 6. **资源**:包含了程序的图标、字符串、菜单等资源。 7. **重定位**:当PE文件被加载到内存时,地址可能会发生变化,重定位...
pe结构分析.rar
04-05
4. **导入和导出**:导入记录了程序需要调用的其他模块(库)中的函数;导出则列出了该文件提供给其他模块调用的函数。 5. **资源**:包含程序的各种资源,如图标、字符串、版本信息等。 6. **重定位*...
PE结构图文.rar
05-06
"PE结构图文.rar"这个压缩包包含10张高清图片,用图形化的方式展示了PE文件的结构,以及微软官方的PE文件结构手册,这对于理解PE文件的内部工作机制非常有帮助。 首先,我们来看PE文件的基本结构PE文件由两大部分...
易语言源码易语言导入导出PE源码.rar
03-31
5. 实践应用:在实际开发中,导入导出PE的技能可以应用于很多场景,如程序调试、软件逆向工程、插件系统开发等。例如,通过导入PE,可以动态链接到某个特定的系统API,实现特定的功能;通过导出PE,可以创建可...
PE结构导入/出 类封装
12-18
PE结构导入/出 类封装 里面有备注 调用方式 将文件导入至工程 引用头文件后 直接调用即可 ExePath 为Pe文件路径 CPE * pe = new CPE(ExePath); if (!pe->Initialize()) { MessageBox(_T("PE初始化失败")); ...
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5434
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
plsql导出导入 结构数据、存储过程等
Refain的博客
03-12 9742
导出: 首先点击 TOOLS,选择 EXPORT TABLES 选中你需要导出的, 勾选 “Create tables” 是因为在导入的数据库中没有此 如果勾选"Drop tables" 而没有勾选 “Create tables” ,而数据库中没有此,会报和视图不存在 Output file 为导出的路径 如果你想导的 数据记录很多,就只想导出结构,你可以在 where clause 后面接一个 否定条件,就可以只导出结构而...
导入与导出
richard1230的博客
10-09 7330
文章目录首先说几个基本问题:双桥结构解析导入:导入: 首先说几个基本问题: 1.导入的作用是什么?没有它exe能运行么? 作用:记录了一个exe或者一个dll所用到的其他模块导出的函数; 所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数 2.导出的作用?没有它exe能运行么? 作用:记录了导出符号的地址,名称,与序号 (提示:exe文件中很少有导出的,大多数dll都有...
PE文件——导入&导出&函数覆盖
Woolemon的博客
04-06 6041
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE文件导入详解
只为改变自己
05-03 1113
PE导入详解
PE结构那个字段可以找到导入
06-04
PE文件格式中的导入(import table)信息存储在可执行文件的数据目录中,具体来说是存储在`IMAGE_DIRECTORY_ENTRY_IMPORT`目录项中。该目录项的值可以在PE文件的NT头中找到,NT头是PE文件格式中的一个结构体,包含了PE文件的各种信息,包括数据目录的位置和大小等信息。 NT头的结构体定义如下: ``` typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; ``` 其中,`OptionalHeader`成员是一个结构体类型,它包含了PE文件的各种信息,包括数据目录的位置和大小等信息。`OptionalHeader`结构体定义如下: ``` typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; BYTE MajorLinkerVersion; BYTE MinorLinkerVersion; DWORD SizeOfCode; DWORD SizeOfInitializedData; DWORD SizeOfUninitializedData; DWORD AddressOfEntryPoint; DWORD BaseOfCode; DWORD BaseOfData; DWORD ImageBase; DWORD SectionAlignment; DWORD FileAlignment; WORD MajorOperatingSystemVersion; WORD MinorOperatingSystemVersion; WORD MajorImageVersion; WORD MinorImageVersion; WORD MajorSubsystemVersion; WORD MinorSubsystemVersion; DWORD Win32VersionValue; DWORD SizeOfImage; DWORD SizeOfHeaders; DWORD CheckSum; WORD Subsystem; WORD DllCharacteristics; DWORD SizeOfStackReserve; DWORD SizeOfStackCommit; DWORD SizeOfHeapReserve; DWORD SizeOfHeapCommit; DWORD LoaderFlags; DWORD NumberOfRvaAndSizes; IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32; ``` 其中,`DataDirectory`是一个数组,它包含了PE文件的各个数据目录项的位置和大小等信息。导入信息就存储在`IMAGE_DIRECTORY_ENTRY_IMPORT`目录项中,它是`DataDirectory`数组的第5个元素,可以通过以下代码找到导入的位置和大小: ``` PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew); PIMAGE_DATA_DIRECTORY pImportTable = &pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]; DWORD dwImportTableSize = pImportTable->Size; DWORD dwImportTableVA = pImportTable->VirtualAddress; ``` 其中,`pDosHeader`是指向PE文件DOS头的指针。`dwImportTableVA`是导入在内存中的虚拟地址,`dwImportTableSize`是导入的大小。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值