WIN32汇编语言程序设计——取出导入表的函数及引用DLL名称信息(CHA17)

原创 已于 2023-03-29 09:25:23 修改 · 396 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #c++ #开发语言

于 2023-03-22 22:54:19 首次发布

一、相关意义及说明

每个PE文件中都有引用动态链接库DLL文件及其中相关的函数,在观察PE文件需要用到哪些DLL文件及函数时,最直观的方式就是取出引用的DLL文件名和相关函数的文件名。

二、分析书本实例(CHA17-Import文件夹—_ProcessPeFile)

1. _ProcessPeFile子程序参数的意义

(1) 子程序参数1:已经读取到内存中的文件头的地址。通过内存映射读取到整个PE文件在内存中的起始位置。

(2) 子程序参数2:PE文件头在内存中的偏移地址。也就是在MAGE_DOS_HEADER 结构中取出的e_lfanew的值。

(3) 子程序参数3:整个PE文件的长度。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。

2. 获取数据块的文件偏移地址。用子程序参数2得到IMAGE_NT_HEADERS结构的地址,从而得到数据目录中第二个IMAGE_DATA_DIRECTORY结构的VirtualAddress值——对应导入表数据块的起始RVA。值得一提的是访问数据目录表的时候地址是DataDirectory[8].VirtualAddress,这里要说明一下:在MASM中,不管数组中的单个数组项字节数是多少,括号中的数值都是字节地址而不是数组下标,所以数据目录表结构的长度是8的时候,访问第n个结构时要寻址的就是DataDirectory[n*8],所以上面的DataDirectory[8]实际上是DataDirectory[1*8]的意思,表示访问的是索引号为1的数组项。

_ProcessPeFile	proc	_lpFile,_lpPeHead,_dwSize
		local	@szBuffer[1024]:byte,@szSectionName[16]:byte

		pushad
		mov	edi,_lpPeHead
		assume	edi:ptr IMAGE_NT_HEADERS
;**********************************************
最低0.47元/天 解锁文章
evagenius
关注
win32 DLL 学习总结
bcbobo21cn的专栏
05-04 2229
DLL开发与调用(一)——创建导出函数Win32 DLL http://www.cnblogs.com/Pickuper/articles/2053745.html Visual C++6.0 中可实现的DLL          Visual C++6.0 支持自动生成Win32 DLL和MFC AppWizard DLL两种,其中Win32 DLL不使用MFC类库,其导
001微信小程序云开发 API数据库-导入/导出
感谢关注-最近在编写开源的自动化测试框架还没整理完
08-27 4034
随着移动互联网的普及,微信小程序已经成为一种受欢迎的应用形式。微信小程序云开发 API 数据库是微信小程序的一项重要功能,可以让开发者在小程序中直接使用云端数据库功能,无需自己搭建和管理服务器。本文将通过案例和代码的方式,详细介绍微信小程序云开发 API 数据库的导入/导出方法。
获取进程中导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
PE结构---获取导入函数的实际地址
93Storm
12-17 1041
系统流程图 流程图简要概述: 第一步:通过枚举模块,后去.exe的加载地址,这个地址就是PE在进程中的加载基址。 第二步:计算出导出的位置。 第三步:将目标进程中的数据读到本进程中。 示例代码下载地址: http://download.csdn.net/detail/qq_21000273/9362435
[源码和文档分享]根据PE文件格式从导入获取加载的DLL并遍历导入函数名称和地址...
qq_38474647的博客
12-30 293
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入以及导出的工作原理,又是重中之重。理解了 PE 格式的导入,就可以修改 PE 格式进行 DLL 注入,也可以修改导入实现 API HOOK 等。理解了 PE 格式的导出,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数的名...
输出pe文件dll、exe等)依赖的dll导入、实验代码
why_are_you_so的博客
03-25 558
DOS头,NT头,节以及具体节DOS头结构体:IMAGE_DOS_HEADER,其中e_lfanew指明了NT头位置,相关结构体都能在 winnt.h 看到。NT头结构体:IMAGE_NT_HEADERS32关注中的ImageBase及成员ImageBase:映象(加载到内存中的PE文件)的基地址,这个基地址是建议,对于DLL来说,如果无法加载到这个地址,系统会自动为其选择地址。一些指令的操作数跟此地址在同一个地址空间。:一个IMAGE_DATA_DIRECTORY数组,指向了导入,导出
PE学习(五)导出,编写DLL及查看DLL的导出信息
零点起步
03-24 4359
第五章 导出 typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature +04h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader } IMAGE_NT_HEADERS ENDS, *PIMAGE_NT_HEADERS32;
Windows环境下32位汇编语言程序设计 第2版(罗文斌) 完整光盘
08-24
Windows环境下32位汇编语言程序设计 第2版(罗文斌) 完整光盘内容,包含每章内容的完整代码 本光盘所包含目录的说明 根目录下的 *.pdf ;附录A、B、C的电子版文档 Chapter02\Test ;测试编译环境 Chapter03\Hello...
HoloLens开发——C++ DLL封装及在win32、Unity、AR眼镜中调用情况
haitianyunlan的博客
05-09 2203
 一、C++ Dll基础了解动态链接库(dll)比较好的介绍在孙鑫《VC++深入详解》第十九章动态链接库中有详细介绍。主要涉及以下问题:1.静态链接库与动态链接库的区别https://blog.csdn.net/zang141588761/article/details/50501914①静态链接库编译的时候加载;②动态链接库运行的时候加载。 2.dll的显式调用和隐式调用https://blog...
msado15.dll 32位和64位各版本的ADO都有
07-18
**32位和64位版本** 的msado15.dll是针对不同的操作系统架构设计的。32位版本适用于运行在32位Windows系统上的应用程序,如Windows XP、Windows Server 2003等。而64位版本则是为64位Windows系统(如Windows 7、...
使用汇编取得PE文件导入DLL名称函数名称
奇思幻想编程人
02-27 1042
小弟我原是C程序员,最近迷上汇编,先拿PE文件做练手,写了一段程序,用于显示PE文件导入DLL以及相关函数信息,有不足之处请指教。对代码的解释请参考代码中的相关注释。(不要骂我懒,其实我不忙。) ;小弟用的是RadASM2.2.1.1+ masm32进行编辑和编译;感谢Iczelion提供如此详尽的PE文件讲解。.386.model flat,stdcallinclu
汇编语言(无哈希值)获取任意函数地址
LukeO的博客
11-19 385
汇编语言无哈希值获取任意函数地址,使用FASM汇编器
通过解析PE头,读取dll模块 和 dll模块函数
墨痕诉清风的博客
03-05 1170
win32    int main() { //001e1000 ::MessageBox(NULL, TEXT("111"), TEXT("222"), 0); HMODULE vHmodule = GetModuleHandle(NULL); printf("vHmodule = 0x%08X\n", vHmodule); IMAGE_DOS_HEADER *vImageDosHead...
修改PE文件实现静态DLL注入
笔记本
05-07 5731
向PE文件注入DLL一般来说分为两种,一种是动态的,就是在程序运行中注入。还有一种是静态的,也就是修改PE文件达到DLL注入的效果。直接上实验步骤 实验(经过处理的NotePad,输入下面有大量0000空余,无需进行移位操作): 1.LoadPE查看输入 可以看到输入的RVA是00007604,转化成文件偏移是6A04(用LoadPE中的位置计算器计算),c32找到6A04处 2...
WIN32汇编语言程序设计——查看PE文件导出
evagenius的博客
03-24 666
当PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。在这些包含导出函数DLL文件中,导出信息被保存在导出中,通过导出DLL文件向系统提供导出函数名称、序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。(1) 子程序参数1:已经读取到内存中的文件头的地址。2. 获取数据块的文件偏移地址。
【逆向】导入注入
fzucaicai的博客
10-24 828
很淦的是,当学到动态链接库的时候尝试过自己用def导出dll文件,当时啥问题都没有,一路畅通,但是很淦的是,昨天却死活导不出,只有dll没有lib文件,导致把dll放到Depend什么东东都没看见。谈谈我的理解,当exe想要调用dll里的函数的时候,首先去导入找对应的函数名或者导出序号,如果IAT有现成的已经绑定好的地址,那么就直接调用,如果没有,则需要通过INT IAT存着的函数名或者导出序号,然后调用GetProcAddress() 函数去导出找对应的函数真实地址,填在IAT,然后调用函数
PE-导入
megaparsec
12-19 2356
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入函数
利用PE数据目录的导入获取函数名及其地址
编程菜鸟---正在努力进阶
06-24 6896
PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件签名(“PE00"字符串),紧接着是20字节的IMAGE_FILE_HEADER结构,它的后面是224字节的IMAGE
NET 中深度拷贝一个对象
最新发布
赵庆明老师
12-11 455
本文介绍了在.NET中使用序列化/反序列化实现对象深度拷贝的方法。通过BinaryFormatter将对象序列化到内存流中,再反序列化生成完全独立的新对象。示例代码展示了如何对标记为[Serializable]的TreeList类进行深度拷贝,包括创建原始对象、执行拷贝操作并验证拷贝结果。需要注意的是,此方法仅适用于可序列化的对象类型,对于非序列化对象需手动实现属性复制。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值