通过WINNT.H定义的结构体,获取进程IAT表

最新推荐文章于 2023-04-01 21:14:33 发布
最新推荐文章于 2023-04-01 21:14:33 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: C语言学习 文章标签: PE结构体 获取IAT表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enjoy5512/article/details/51569519
版权

在前面的文章里,学习PE结构都是通过手动的方式去计算PE结构的NT映象头,NT可选头之类的,手动计算确实有利于加深对PE结构的熟悉程度,但是,在实际编程的时候,利用一些数据结构会让程序更高效,更简洁..于是,顺便记录了下通过WINNT.H自定义的结构体,来获取本进程的IAT表

注 : 转载请注明来源 enjoy5512的博客 http://blog.csdn.net/enjoy5512

打开WINNT.H文件可以看到里面定义了大量的结构体,正是这些已定义好的结构体,让我们能更方便的去获取PE文件的结构信息

这里写图片描述

获取IAT表大致过程:

1) 获取模块信息
2) 获取DOS头
3) 获取NT映象头
4) 获取NT可选映象头
5) 获取IAT表地址
6) 循环遍历IAT表,获取导入函数信息

测试代码

具体解释请看代码的注释

///////////////////////////////////////////////////
最低0.47元/天 解锁文章
enjoy5512
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取进程中导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
获取当前进程IAT
小驹的专栏
06-14 1439
#include #include int main(int argc, char* argv[]) { HMODULE hModule = ::GetModuleHandleA(NULL); IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModule; IMAGE_OPTIONAL_HEADER* pOpNtHeader = (
IAT详解
cay22的专栏
02-05 7855
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
IAT结构分析
playmaker的博客
03-13 637
IAT结构分析 IAT介绍 解决兼容问题(不同机器的dll版本不同,地址自然不同),操作系统就必须提供一些措施来确保可以在其他版本的Windows操作系统,以及DLL版本下也能正常运行。 这时IAT(Import Address Table:输入函数地址)就应运而生了。 IAT定位 手工寻找 利用PEview找到程序的NT头的可选头内有个import table此处记录了其RVA。 根据结构体...
IAT
crkres9527
09-27 609
A、初识IAT     B、IAT相关结构     C、读出IAT项     D、编写代码测试分析       E、HOOK IAT     F、测试分析 A、认识IAT 导入函数 B、IAT相关结构 PIMAGE_DOS_HEADER //->e_lfanew //PE文件头偏移值 PIMAGE_NT_HEADERS //->OptionalHeade...
file_to_struct.rar_结构体
09-23
在C语言中,我们可以通过`struct`关键字来定义结构体。例如,如果我们有一个包含姓名、年龄和成绩的学生信息结构体,可以这样定义: ```c struct Student { char name[50]; int age; float score; }; ``` ...
查找学生(结构体数组).zip_结构体
09-25
在本示例中,"查找学生(结构体数组).zip"是一个包含C语言源代码的压缩包,其核心任务是通过结构体数组来存储学生的数据,并找出成绩最低的学生进行显示。以下将详细介绍这一过程涉及的结构体相关知识点。 首先,...
C_underlying_operations.zip_结构体
09-19
结构体定义的语法如下: ```c struct tagname { type member1; type member2; ... }; ``` 结构体变量的声明和初始化可以这样完成: ```c struct tagname var_name = {value1, value2, ...}; ``` 在结构体中,...
C语言结构体精品课件.ppt
11-15
结构体变量的引用可以通过`.`运算符来访问结构体成员,例如:`strStu1.iNum`、`strStu2.cSex`。结构体变量之间可以像普通变量一样相互赋值,例如:`strStu2 = strStu1;`。 链是一种数据结构,由多个节点组成,...
获取内存中可执行文件的PE结构--导入
nuy195as
01-17 211
获取内存中可执行文件的PE结构--导入 2012年01月14日   // MemPEImportTable.cpp : 定义控制台应用程序的入口点。   //   // 1、提升自身进程的权限   // 2、获取其他进程的句柄和在内存中的起始地址   // 3、读取其他进程的Import信息   // 4、打印出其他进程的Import信息   // 5、如果是系统级进程可能...
WIN32汇编实现进程导入HOOK API
u010416927的专栏
06-05 785
;**************************************************** ;DevName:进程导入API_HOOK ;开发者:GhostHand ;**************************************************** .386 .
导入解析,IAT解析【滴水逆向三期53笔记】
最新发布
WdIg-2023的博客
04-01 865
我们再上一章节简要介绍了IAT,我们知道如果程序调用dll中的函数时,必须通过IAT来找到函数,我们基本了解了IAT之后,我们今天来讲解一下导入,通过本章节的学习,我们可以了解导入,也能对IAT有一个更深入的了解。
Hook进程IAT
u011569253的博客
05-10 637
这两天研究下IAT的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单的hook IAT。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IATPE文件中的位置,当你有了这些知识之后就可以对IAT做hook了。这里我就不对IAT做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
解析导入IAT
hambaga的博客
05-21 1755
一、导入的结构 导入的结构看起来复杂,其实只是套娃,不要被它吓到了。 导入定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
使用IAT注入模块到进程中 样例
Fly Follow the Heart
07-30 5361
模块注入到进程的方法有很多,想一一写例子,学习一下,也练习一下!         首先先从IAT注入开始吧!         如果了解PE文件的格式的话,原理很简单。当一个模块被系统加载起来后,会遍历模块的导入,将静态导入的函数地址填充到导入中,以便进程执行起来后,调用到该模块时,能够使用导入函数。要获取导入函数地址,首先要将导出该函数的模块加载起来。         那方法来了,
IAT入门简析【滴水逆向三期52笔记】
WdIg-2023的博客
04-01 453
如果我们讲函数写在程序的源文件中,那么该函数就会被编译器直接编译到程序的二进制文件中,在程序调用该函数的时候,E8后跟的地址是直接写死的,程序直接在exe文件中找到函数,也被称为直接寻址,因为程序可以直接从自生的二进制文件中找到函数。我们知道,exe在运行的时候,会有自己独立的4GB空间,exe贴到4GB空间的时候,基本上都能按照exe文件预定的位置贴上去,但是dll文件就不一样,它每次贴的位置可能都不一样,所以MessageBox函数的地址也不一样,那程序如何调用MessageBox函数呢?
IAT HOOK及遍历IAT
哈尔滨-猫猫
01-03 841
// ConsoleApplication2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include // 定义MessageBoxA函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType); int W
输入IAT以及输出
weixin_34416649的博客
06-20 393
输入IAT与输出 ImportTable : 00002010 RVA to FOA 所以输入在文件中的地址为 2010 - 2000 + 600 = 610 ImportAddressTable(IAT): 00002000 IAT在文件中的地址为: 2000 - 2000 ...
WinNT.h头文件详解:数据类型与编译时断言
WinNT.h是Windows NT操作系统内核开发中不可或缺的头文件,它为程序员提供了大量的系统定义、数据类型和编译时断言等功能。对于Windows程序员特别是初学者来说,深入理解和掌握这个头文件有助于编写更高效、兼容性更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值