PE导入表

最新推荐文章于 2024-07-25 17:47:24 发布
最新推荐文章于 2024-07-25 17:47:24 发布
阅读量688 收藏 1
点赞数 1
分类专栏: 安全 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91405293
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏

 

导入表的位置:在PE文件的PE文件头

导入表通常位于 .idata 段

 

 

     导入函数(Import functions )就是被程序调用但其执行代码又不在程序中的函数

     函数的代码位于一个或者多个DLL中

     动态链接 ——当PE文件被装入内存的时候,Windows装载器才将DLL装入,并将调用导入函数的指令和函数实际所处的地址联系起来

     导入表中保存的正是函数名和其驻留的DLL名等动态链接所必需的信息 

 

导入表中函数可以通过序号访问

导出函数已字母开头查找

 

导入表——获取导入表的位置

 

IMAGE_OPTIONAL_HEADER32结构

DataDirectory字段

第2个IMAGE_DATA_DIRECTORY结构

VirtualAddress字段 

 

 

IMAGE_IMPORT_DESCRIPTOR

IMAGE_IMPORT_DESCRIPTOR STRUCT

    union

        Characteristics       dd   ?

        OriginalFirstThunk dd   ?

    ends

    TimeDateStamp          dd   ?

    ForwarderChain         dd   ?

    Name1                         dd   ?

    FirstThunk                  dd   ?

IMAGE_IMPORT_DESCRIPTOR ENDS

 

 

 

IMAGE_THUNK_DATA STRUCT

    union u1

        ForwarderString dd     ?

        Function             dd      ?

        Ordinal                dd  ?

        AddressOfData  dd  ?

    ends

IMAGE_THUNK_DATA ENDS

 

 

IMAGE_IMPORT_BY_NAME STRUCT

    Hint         dw      ?

    Name1    db      ?

IMAGE_IMPORT_BY_NAME ENDS

 

 

两个IMAGE_THUNK_DATA STRUCT一样吗?

 

 

跃然实验室
关注
专栏目录
PE结构:导入中的双桥结构
weixin_43742894的博客
05-15 1152
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件:导入》:https://blog.csdn.net/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
Windows PE 第四章 导入
天使也掉毛
10-07 3768
Windows PE 第四章 导入
《初识PE导入
weixin_33767813的博客
11-21 299
最近听别人讲的我晕晕乎乎的,于是上网上百度下,感觉这篇还不错。 链接:http://www.blogfshare.com/pe-export.html 一、导入简介 在编程中常常用到“导入函数”(Import functions),导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些函数信息,包括函数名及其驻留的DLL...
PE文件(十二)导入与IATHOOK
最新发布
2301_78838647的博客
07-25 961
此时就可以修改IAT了。当一个PE文件(如.dll/.exe等)需要使用别的模块的函数,也叫做依赖某模块,就需要一个清单来记录使用的模块(一般为.dll文件,为方便理解,以后我们将模块都认为是.dll文件)及使用的函数的相关信息(如使用了哪些DLL、使用了这个DLL里的哪些函数、叫什么名、去哪找等),这个清单就叫做导入。元素现形式不同的原因:一个.DLL中的函数可以以函数名称导出,也可以以序号(NONAME)导出,所以当一个PE文件使用别的.DLL中的函数时要考虑这个函数的名字和序号两种情况。
PE-导入
megaparsec
12-19 1984
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE学习日记----导入
01-01 575
导入PE数据组织的一个很重要的组成部分。通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息。 导入示数据目录中注册的数据类型之一,其描述信息位于数据目录的第2个目录项中。 导入描述符IMAGE_IMPORT_DESCRIPTOR 导入数据的起始是一组导入描述结构,每组20个字节。最后一组为全0结构,导入描述已
PE.rar_PE导入_pe_导入
09-24
分析PE,查看PE文件导出导入
PE文件导入解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件的导入,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
滴水逆向——PE导入注入
sunr.
04-19 1108
1.注入概念: 2.导入注入流程: 第一步: 根据目录项(第二个就是导入)得到导入信息: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMA...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
易语言源码易语言导入导出PE源码.rar
03-31
本文将深入探讨易语言源码以及如何在易语言中导入和导出PE(Portable Executable)PE是Windows操作系统中可执行文件(.exe和.dll)的标准格式,包含了关于程序的各种元数据,如导入和导出函数、资源信息、...
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5646
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
php读取pe文件,C++ 读取PE文件信息(读取PE导入等)
weixin_39854951的博客
03-22 325
[C++] 纯文本查看 复制代码// ReadPEInfo.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #include #include #include void ReadNTPEInfo(PIMAGE_NT_HEADERS pImageNtPE);ULONG RvaToOffset(IMAGE_NT_HEADERS * pNtHeade...
认识Import-PE输入说明
01-25 1449
认识Import-PE输入说明 有很多介绍PE文件的文章,但是我打算写一篇关于输入的文章,因为它对于破解很有用。     我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的
PE文件结构详解(四)PE导入
weixin_34208283的博客
08-31 89
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIR...
PE文件格式详解(五)――Improt Table(引入)
lwglucky的专栏
03-13 1105
这节即将学习的Import Table和下节的Export Table关系密切,两者联合起来就可以解决我们开始提出的问题。在说明Import Table和Export Table的作用之前先让我们明白编译器是如何处理我们调用外部库函数的。在PE 文件中,当你调用另一模块中的函数(例如USER32.DLL 中的GetMessage),编译器制造出来的CALL 指令并不会把控制权直接传给DLL 中的函
PE 通过导入注入 Dll
多一份贡献,多一份环保
08-17 973
导入注入,当程序被加载时,系统会根据程序导入信息来加载需要用到的dll,导入注入的原理就是修改程序的导入,将自己的dll添加到程序的导入中,这样程序运行时可以将自己的DLL加载到程序的进程空间。...
导入与导出
richard1230的博客
10-09 7446
文章目录首先说几个基本问题:双桥结构解析导入:导入: 首先说几个基本问题: 1.导入的作用是什么?没有它exe能运行么? 作用:记录了一个exe或者一个dll所用到的其他模块导出的函数; 所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数 2.导出的作用?没有它exe能运行么? 作用:记录了导出符号的地址,名称,与序号 (提示:exe文件中很少有导出的,大多数dll都有...
c++ 修正pe导入
05-16
PE导入PE文件中的一个重要部分,它记录了PE文件所依赖的外部函数和库文件。如果导入出现错误,将会导致程序无法正常运行或者崩溃。下面是修正PE导入的一些方法: 1. 使用修复工具:有一些专门的PE修复工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值