PE文件结构详解(五)延迟导入表

最新推荐文章于 2023-09-05 11:03:08 发布
VIP文章 最新推荐文章于 2023-09-05 11:03:08 发布
阅读量9.3k 收藏 24
点赞数 6
分类专栏: 逆向分析 文章标签: PE 文件 windows 逆向 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evileagle/article/details/12718845
版权

by evil.eagle 转载请注明出处。

http://blog.csdn.net/evileagle/article/details/12718845


  PE文件结构详解(四)PE导入表讲了一般的PE导入表,这次我们来看一下另外一种导入表:延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使用的频率比较低,或者在某些特定的场合才会用到,而有些函数可能要在程序运行一段时间后才会用到,这些函数可以等到他实际使用的时候再去加载对应的DLL,而没必要再程序一装载就初始化好。

这个机制听起来很诱人,因为他可以加快启动速度,我们应该如何利用这项机制呢?VC有一个选项,可以让我们很方便的使用到这项特性,如下图所示:



在这一项后面填写需要延迟导入的DLL名称,连接器就会自动帮我们将这些DLL的导入变为延迟导入。

现在我们知道如何使用延迟导入了,那这个看上去很厉害的机制是如何实现的呢?接下来我们来探索一番。在IMAGE_DATA_DIRECTORY中,有一项为IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT,这一项便延迟导入表,IMAGE_DATA_DIRECTORY.VirtualAddress就指向延迟导入表的起始地址。既然是表,肯定又是一个数组,每一项都是一个ImgDelayDescr结构体,和导入表一样,每一项都代表一个导入的DLL,来看看定义

最低0.47元/天 解锁文章
evileagle
关注
  • 6
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
获取PE文件导入
04-02
获取PE文件导入中模块和API信息的源代码
PE文件 - 导入
weixin_45012273的博客
11-11 1207
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
AssetManager加载远程资源
成长ing中的w的专栏
09-17 2159
/** * Author:W * 使用AssetsManager加载远程资源 */ cc.Class({ extends: cc.Component, properties: { }, // LIFE-CYCLE CALLBACKS: onLoad () { this.loadRemoteUrlAsset(); }, start () { setTimeout(function(){
PE文件结构详解(四)PE导入
zdwcmy的专栏
06-17 356
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
PE文件解析-加载配置、绑定导入导入地址延迟导入
zhyulo的博客
01-06 1587
一、加载配置 1.位置与简介     载入配置早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。     后来以XP及以后的系统主要是为了存储SEH句柄,称为安全结构化异常处理程序列,如果SEH异常处理没有经过注册,在载入配置中没有句柄,这个异常处理就不会被执行。     据微软官方说明,这个载入配置的作用是为了防止“x86异常处理程序劫持”的漏洞。因为...
PE-导入
megaparsec
12-19 1744
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
12.PE文件导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5080
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件解析(4):导入的解析
ylh的博客
11-01 809
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
2.5 PE结构导入详细解析
最新发布
CSDN
09-05 6595
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
Windows PE 第八章 延迟加载导入
天使也掉毛
02-09 1357
延迟加载导入     延迟加载导入PE中引入的专门用来描述与动态链接库延迟加载相关的数据,因为这些数据所引起的作用和结构导入数据基本一致,所以称为延迟加载导入。     延迟加载导入导入是相互分离的。一个PE文件中可以同时存在这两种数据,也可以单独存在一种。延迟加载导入是一种特殊类型的导入。同导入一样,它记录了应用程序想要导入的部分或全部动态链接库及相关函数信息。与导入
PE文件结构详解
08-25
主要介绍了PE文件结构详解,需要的朋友可以参考下
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File ...了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE文件结构详解.pdf
03-23
PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。
PE文件结构详解(一)基本概念
热门推荐
evil.eagle的专栏
09-14 6万+
PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
PE文件结构详解(二)可执行文件
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,从头部的信息,可以引导系统解析整个文件
PE文件结构详解(三)PE导出
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
PE文件结构详解(六)重定位
evil.eagle的专栏
10-20 1万+
前面两篇 PE文件结构详解(四)PE导入 和 PE文件结构详解延迟导入 介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的: 在这里,IE的iexplorer.exe导入了Kernel32.dll的GetCommandLineA函数,可以看到这是个间接call,00401004这个地址的内存里保存了目的地址,根据图中显示
vue 文件目录结构详解
03-28
Vue 文件目录结构通常分为以下几个部分: 1. `src` 目录:该目录下存放所有的源代码文件,包括 Vue 组件、样式、图片等。 2. `assets` 目录:该目录下存放静态资源文件,如图片、字体等。 3. `components` 目录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值