Win7手工查找notepad.exe的IAT

最新推荐文章于 2024-03-06 09:07:33 发布
最新推荐文章于 2024-03-06 09:07:33 发布
阅读量1k 收藏 2
点赞数
分类专栏: --------系统底层-------- 逆向工程核心原理 --------逆向工程--------
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h123120/article/details/79828220
版权
本文介绍了在Windows 7环境下,如何手工查找notepad.exe的Import Address Table (IAT)。通过使用x64dbg、peid、Hexeditor等工具,详细阐述了查找IMAGE_IMPORT_DESCRIPTOR结构体的过程,并验证了计算结果的准确性。
摘要由CSDN通过智能技术生成

      最近在学习《逆向工程核心原理》,文中在WinXp下查看了一步一步手工查找了notepad.exe的IAT,所以我想试试能否在Win7下也完成分析,看看系统版本迭代升级之后PE header和PE body有些什么变化。

一、相关事项

(一)OS版本:Microsoft Windows 7 旗舰版  6.1.7601 Service Pack 1 Build 7601

(二)分析对象系统指导notepad.exe

(三)工具:1.x64dbg 2.peid 3.Hexeditor 4.calc.exe

二、分析过程

(一)打开notepad.exe  如下图

(二)查找IMAGE_IMPORT_DESCRIPTOR结构体的RVA

    首先,我们要找到NT头包含的可选头的DateDirectory数组的DateDirectory[1].virtualAdress,因为它是IAT的IMAGE_IMPORT_DESCRIPTOR结构体的RVA,在我瞎了狗眼的情况下,终于找到了A0A0这个地址。


但A0A0是RVA,因此我们必须把它转换为RAW,此时先用peid打开notepad,查看各个节区的偏移&#x

最低0.47元/天 解锁文章
愤怒的北方酱
关注
专栏目录
逆向工程核心原理学习笔记1-通过IAT手工定位notepad.exe中的导入函数
HappyOrange2014的专栏
08-24 1794
本文将通过PEview 0.99这款PE查看器来复习与IAT相关的知识,复习方式就是手工查找xpsp3下notepad.exe文件中第一个导入DLL中的第一个导入函数。之所以选用PEview而不用winhex类软件,主要是为了便于验证自己的思路是否正确。在熟悉了IAT手工查找的具体过程之后,还是使用工具软件直接获取信息比较方便。
Notepad++从文件夹查找文本内容
最新发布
ACGkaka的博客
03-14 2781
Notepad++从文件夹查找文本内容
Windows系统缺失wpnapps.dll文件如何解决?
amio555的专栏
07-03 451
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wpnapps.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wpnapps.dll丢失要怎么解决?
Win7系统提示找不到notepad.exe文件的解决办法
file
03-06 737
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个notepad.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现notepad.exe丢失要怎么解决?
导入表解析,IAT表解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 934
我们再上一章节简要介绍了IAT表,我们知道如果程序调用dll中的函数时,必须通过IAT表来找到函数,我们基本了解了IAT表之后,我们今天来讲解一下导入表,通过本章节的学习,我们可以了解导入表,也能对IAT表有一个更深入的了解。
notepad_upx.exe 学习程序和upx,NOTEPAD.exe
08-27
《逆向工程核心原理》一书中使用的程序notepad_upx.exe ,包括NOTEPAD.EXE ,UPX程序
notepad.exe.mui
12-29
notepad.exe
notepad.exe
12-19
notepad
notepad.exe.mun
12-26
notepad.exe
NotePad使用通配符查找/替换
玩命的狙击手
12-01 7666
NotePad使用通配符查找/替换
notepad++ 根据文件内容查找文件
xiongch_xionger的博客
12-01 1万+
一、使用notepad++ 根据内容查找文件: 如果你忘记了文件名,只记得文件里的内容(如想找到某些很久之前写过的代码),大多数的文本编辑器都有根据内容查找的功能,以下为notepad++样例,其余编辑器基本通用。 打开 notepad++,按ctrl +F,会出现查找框,然后选择“文件查找”,选择需要查找的目录(它将会跟 据查找的内容搜索整个文件目录),然后点击“全部查找”,一会就会出
Notepad++ 搜索功能学习总结
热门推荐
bcbobo21cn的专栏
07-01 2万+
一 实例 先看一下查找菜单; 查找对话框; 标记功能;选中 标记所在行; 标记后的情况如下图; 文件查找功能;下图是在 C:\Windows\Microsoft.NET\Framework\v4.0.30319目录下的所有文件(含子目录)中查找字符串"xml"; 最后找到的结果如下所
搜索系统硬盘中包含指定字符串的文件的工具和方法——全文搜索搜索文件内容(持续更新中)
透明大脑
07-28 1万+
搜索自己硬盘上的包含有指定字符串的文件,以下一win10 为例。 一、windows自带搜索功能(一) 1.直接上图,按照图上步骤来: 2.选要搜索的文件类型,如:我选文档类型的 3.输入指定字符串,如“你是来搜我的吗” 注意: (1)这里只匹配出txt、docx、doc、html类型的文档,但是我在本地新建了test1.txt、test2.doc、test3.docx、...
2014大学计算机实验,2014大学计算机基础实验报告与综合训练.doc
weixin_39882317的博客
06-14 94
大学计算机基础(2012-2013学年第1学期)实验报告教学班级:_______ 学号:________ 姓名:________梅琪斌___课程教师:______________ 实验辅导教师:_____________西南交通大学2012年9月实验一 微机基本操作与上网冲浪教学班级:_______ 学号:___ 姓名:___梅琪斌________实验日期:___________ 实...
notepad查找中文
qq_31683775的博客
03-26 1358
[\x{4e00}-\x{9fa5}]
关于notepad 查找查找匹配失效的问题 解决
fengwei_liao的博客
08-02 7876
关于notepad 查找查找匹配失效的问题 解决 如果发现查找输入后,无法进行有效的匹配,可以 切换查找模式 ,一般是用普通 模式。 有些时候,比如用于替换等,可以使用正则表达式的模式。 ...
计算机基础模块,计算机基础模块练习 (1)
weixin_39555179的博客
07-20 516
1 模块二模块二 一 选择 1 按 C C 键能退出DOS 回到Windows A QUIT B F4 C C EXITEXIT D Alt F4 2 单击窗口的 B B 可以把窗口拖放到桌面的任何地方 A 按钮 B B 标题栏 标题栏 C 窗口边框 D 菜单栏工作区 3 在Windows XP应用程序的菜单中 选中 D D 的菜单选项会打开一个对话框 A 前面带 B 暗淡显示 C 前面带 D D...
逆向工程核心原理学习笔记(十):IA-32寄存器基本讲解
killcoco的小窝
04-27 316
什么是CPU寄存器: 为什么要学习寄存器: IA-32寄存器: 基本程序运行寄存器: 下面介绍一下各种寄存器:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值