导入表结构

最新推荐文章于 2022-04-14 16:38:11 发布
最新推荐文章于 2022-04-14 16:38:11 发布
阅读量2.8k 收藏
点赞数
文章标签: descriptor image import struct dll 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ciahi/article/details/1562630
版权

学PE结构很长时间了,开始是从加密与解密的书上学到的,后来又看了一些其他的书,对PE的结构已经基本的了解了。但是因为很少用,所以也经常忘,尤其是导入表与导出表,里面的具体结构经常混淆。

PE格式:

1。DOS Header

2.NT Header

3.Section Table

4.Section

DOS Header的最后一个标志e_lfanew指示了NT Header的位置

NT Header结构

1.Signature

2.File Header

3.Optional Header

在Optional Header中又有三十几项

其中最后一项是Data Directry,即数据目录表,该项有十六项,每一项是一个IMAGE_DATA_DIRECTORY结构

IMAGE_DATA_DIRECTORY STRUCT
  VirtualAddress dd ?
  isize dd ?
IMAGE_DATA_DIRECTORY ENDS

数据目录表的第一项指示了导出表,第二项指示了导入表

在第二项的VirtualAddress指向了IMAGE_IMPORT_DIRECPTOR数组的RVA

IMAGE_IMPORT_DESCRIPTOR STRUCT
  union
    Characteristics dd ?
    OriginalFirstThunk dd ?
  ends
  TimeDateStamp dd ?
  ForwarderChain dd ?
  Name1 dd ?
  FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDS

 其中OriginalFirstThunk中存储的是一个IMAGE_THUNK_DATA数组的RVA,每个IMAGE_THUNK_DATA又指向IMAGE_IMPORT_BY_NAME

IMAGE_IMPORT_BY_NAME STRUCT
  Hint dw ?
  Name1 db ?
IMAGE_IMPORT_BY_NAME ENDS

Hint指示本函数在其所驻留DLL的引出表中的索引号。该域被PE装载器用来在DLL的引出表里快速查询函数。该值不是必须的,一些连接器将此值设为0
Name1含有引入函数的函数名。函数名是一个ASCIIZ字符串。注意这里虽然将Name1的大小定义成字节,其实它是可变尺寸域,只不过我们没有更好方法来表示结构中的可变尺寸域。

在IMAGE_IMPORT_DIRECPTOR结构中的FirstThunk项,与OrignalFirstThunk类似,它也是一组IMAGE_THUNK_DATA的RVA,不过该项所指的内容可以改变,并且该项指示的是函数的地址(开始的时候并不指向函数地址,而是OrignalFirstThunk所指的IMAGE_THUNK_DATA中的值与FirstThunk所指的IMAGE_THUNK_DATA相同,在PE装载时,改变的,每个IMAGE_THUNK_DATA是一个函数的地址

ciahi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红蓝对抗之红队免杀开发实践
悦分享
08-04 1845
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
PE结构-导入
小喇叭儿滴滴的吹
02-13 417
首先就是确定如何定位导入的位置,导入是位于数据目录项的第二项 前四个字节为相对虚拟地址(RVA),后四个字节为大小(这里做个参考,不依赖) 好了,既然是RVA,那么说的就是内存中情况,那么如何在文件中定位到导入位置呢,这里我们则需要做的就是将RVA转换为FA,这里的话就大致来说明一下,不清楚的可以参考下其他博客 先来看一下节区的分布情况,有2个节,分别在0x1000处和0x2000...
cmd命令导入导出Oracle数据结构
weixin_44090237的博客
11-19 1008
导出: 只导出结构: exp xubaouser/Xubao!230Yonghu@9.23.2.213:1521/nxubaodb file=lyt.dmp rows=n 结构数据一起导入的: exp userid=xubaouser/Xubao!230Yonghu@9.23.2.213:1521/nxubaodb owner=xubaouser file=d:/daochu.dmp 导出指定结构 exp xubaouser/Xubao!230Yonghu@9.23.2.213:1521/
mysql如何导入结构_用命令从mysql中导出/导入结构及数据
weixin_39750854的博客
01-19 1092
在命令行下mysql的数据导出有个很好用命令mysqldump,它的参数有一大把,可以这样查看:mysqldump最常用的:mysqldump -uroot -pmysql databasefoo table1 table2 > foo.sql这样就可以将databasefoo的table1,table2以sql形式导入foo.sql中,其中-uroot参数示访问数据库的用户名是root...
PLSQL导入导出结构及数据
today119的博客
04-14 5813
PLSQL导入导出结构数据
博客“Excel批量导入结构到power designer”的附件
05-17
博客“Excel批量导入结构到power designer”的附件 http://blog.csdn.net/wzjin/article/details/30066175
PLSQL Developer导入导出数据结构
12-14
一、导出数据结构数据 导出结构: 找到工具——》导出用户对象——》选择当前用户——》导出文件为xxx.sql位置自己选择(导出的只是数据结构) 导出数据: ...导入结构 找到工具——》导入
plsql导出导入oracle结构方法
09-25
文档介绍了利用plsql导入导出oracle结构的方法,有截图有文字
powerdesigner导入excel生成结构
01-05
这个功能只能用powerdesigner 的脚本功能来实现,使用起来也简单 打开powerdesigner,shift + ctrl + X 打开脚本窗口 输入执行的脚本,点 run 即可。 简单的导入Excel脚本
mariadb导入导出mysql数据库的脚本:无需手动创建数据库,直接新建数据库+导入结构+插入记录
11-30
在描述中提到的“无需手动创建数据库,直接新建数据库+导入结构+插入记录”,这意味着脚本将包含一系列SQL命令,用于在执行时自动创建目标数据库,然后导入预先定义的结构,最后将数据记录填充到这些中。...
cmd mysql怎么导出数据库_windows下CMD导入与导出mysql 数据库与数据库中的结构...
weixin_39809584的博客
01-26 1452
一、导出数据库假设导到E:\date.sql1、现在E盘创建date.sql(空的0KB)2、CMD下:输入mysqldump -u 用户名 -p导出的数据库名>e:\date.sql3、CMD会提示输入密码:输入密码等待一会导出就会成功了,你可到E盘下检查下date.sql二、导入数据库假设导入E:\date.sql数据库1、CMD登录mysql(登录方法),然后用命令CREATE DAT...
导入与导出
richard1230的博客
10-09 7342
文章目录首先说几个基本问题:双桥结构解析导入:导入: 首先说几个基本问题: 1.导入的作用是什么?没有它exe能运行么? 作用:记录了一个exe或者一个dll所用到的其他模块导出的函数; 所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数 2.导出的作用?没有它exe能运行么? 作用:记录了导出符号的地址,名称,与序号 (提示:exe文件中很少有导出的,大多数dll都有...
读取PE文件的导入
weixin_34220963的博客
09-08 413
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .ida...
导入
zzx的博客
12-14 316
标题:[笨笨之菜鸟应该明白之一]IAT导入之间的关联 作者:笨笨学破解 洋名:EasyStudy 日期:NOP掉 工具:什么都有!:) 注意:截图就能省就省了吧!太累人撒!就生硬的文字吧! 一、前言             大家好!我又来了,一直想写个XXX之二的。但是,现在觉得写不大好!明年吧!呵呵~~   最近,想发点东西给大家,但是苦于没什么好发的,因为本人
PE文件结构-导入详解
wxf明的博客
12-30 1574
当PE文件运行时,PE文件将被系统加载进入内存中,此时Windows加载器会定位所有的导入的函数或者将定位到的内容填写到可执行文件的某个位置供使用,这个定位是需要借助于可执行文件的导入来实现的。导入中存放了所使用的DLL模块名称及导入函数的名称或者函数序列。 在PE文件中定位到PE头部的可选头的位置,可选头IMAGE_OPTIONAL_HEADER中最后一个成员: IMAGE_DATA_DI...
dbeaver导出结构_干货分享丨哥带你学习导入导入注入
weixin_39621185的博客
11-28 543
今天的文章分享是 i 春秋作者flag0原创的文章,浅析导入导入注入的相关内容,文章篇幅较长,阅读时长约15分钟,文章未经许可禁止转载!导入的概述导入是逆向和病毒分析中比较重要的一个,在分析病毒时几乎第一时间都要看一下程序导入的内容,判断程序大概用了哪些功能。 导入位于数据目录项中的第二项,一般会有多个,每调用一个DLL便存在一张导入导入记录了导入dll中被调用的函数地址。...
DATASTAGE如何导入数据定义
小姝悠悠的博客
06-29 3776
1.db2数据库定义导入步骤导入-》定义-》插件元数据定义-》DSDB2-》确定-》填写服务器名称,用户名,密码-》下一步-》选择table-》完成2.odbc数据库定义导入步骤(oracle数据源)导入-》定义-》ODBC定义-》填写DSN名称,用户名,密码-》下一步-》选择table-》完成...
cmd导出oracle用户下的所有数据(包括存储过程,触发器,视图)
mclt2017的博客
01-14 1415
只导出结构: exp 用户名/密码@orclfile=f:/backup.dmp owner=用户名rows=n 导出结构也导出数据: exp 用户名/密码@orclfile=f:/backup.dmp owner=user rows=y owner的值写用户名 ...
db2 导入结构和数据
最新发布
04-28
DB2 是一款数据库管理系统,通常用于处理大规模的数据。在 DB2 中,我们可以使用导入命令来将结构和数据导入到数据库中。具体步骤如下: 1. 创建一个结构文件 我们可以使用 DB2 提供的 EXPORT 工具将现有的结构导出到文件中,命令如下: db2 export to 结构文件.del of del select * from 名 where 1=2 这个命令将会导出名为“名”的结构到“结构文件.del”文件中,其中“where 1=2”示只导出结构不导出任何数据。 2. 创建一个数据文件 我们可以使用 DB2 提供的 EXPORT 工具将现有的数据导出到文件中,命令如下: db2 export to 数据文件.ixf of ixf select * from 名 这个命令将会导出名为“名”的数据到“数据文件.ixf”文件中。 3. 导入结构和数据 我们可以使用 DB2 提供的 IMPORT 工具将结构和数据导入到数据库中,命令如下: db2 -tvf 结构文件.sql db2 "connect to 数据库名 user 用户名 using 密码" db2 load from 数据文件.ixf of ixf replace into 名 这个命令将会先执行“结构文件.sql”中所有的 SQL 语句,以创建结构。然后使用 IMPORT 工具将“数据文件.ixf”中的数据导入到数据库中。其中“replace”参数示如果有重复数据则替换,而不是添加。 以上就是使用 DB2 导入结构和数据的基本步骤。需要注意的是,导入操作可能会覆盖现有数据,应谨慎操作。建议先备份现有数据再进行导入

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值