滴水三期逆向基础系列(六)-解析导入表

最新推荐文章于 2023-05-09 02:00:00 发布
最新推荐文章于 2023-05-09 02:00:00 发布
阅读量517 收藏 1
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henuyl/article/details/105999018
版权

附上VS对IMPORT的一系列原装定义

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
	union {
		DWORD   Characteristics;            // 0 for terminating null import descriptor
		DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
	} DUMMYUNIONNAME;
	DWORD   TimeDateStamp;                  // 0 if not bound,
	DWORD   ForwarderChain;                 // -1 if no forwarders
	DWORD   Name;
	DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;

typedef struct _IMAGE_THUNK_DATA64 {
	union {
		ULONGLONG ForwarderString;  // PBYTE 
		ULONGLONG Function;         // PDWORD
		ULONGLONG Ordinal;
		ULONGLONG AddressOfData;    // PIMAGE_IMPORT_BY_NAME
	} u1;
} IMAGE_THUNK_DATA64;
typedef struct _IMAGE_IMPORT_BY_NAME {
	WORD    Hint;
	CHAR   Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

 

导入表解析没有什么难点,重点是绑定导入表的一系列操作,要牢记

VOID ReturnAllImport(
	IN LPVOID pFileBuffer
){
	if(pFileBuffer == NULL){
		return;
	}
	if(!is64Bit){
		PIMAGE_DOS_HEADER idh = NULL;
		PIMAGE_NT_HEADERS inh = NULL;
		PIMAGE_OPTIONAL_HEADER ioh = NULL;
		PIMAGE_SECTION_HEADER ish = NULL;
		
		idh = (PIMAGE_DOS_HEADER)pFileBuffer;
		inh = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + idh->e_lfanew);
		ioh = &inh->OptionalHeader;
		ish = (PIMAGE_SECTION_HEADER)((DWORD)ioh + inh->FileHeader.SizeOfOptionalHeader);
	
		PIMAGE_DATA_DIRECTORY pdd = ioh->DataDirectory;
		if(pdd[1].VirtualAddress == 0){
			cout << "不存在导入表..." << endl;
			return ;
		}
		DWORD ImportVirtualAddrTemp = pdd[1].VirtualAddress;
		DWORD ImportVirtualAddr = RVAToFOA(ImportVirtualAddrTemp, pFileBuffer);
		cout << hex << "ImportVirtualAddr = " << ImportVirtualAddr << endl;
		
		PIMAGE_IMPORT_DESCRIPTOR ped = (PIMAGE_IMPORT_DESCRIPTOR)(ImportVirtualAddr + (DWORD)pFileBuffer);
		cout << hex << "-----------IMAGE_IMPORT_DESCRIPTOR---------" << endl;
		cout << hex << "-importRVA                   = " << ImportVirtualAddrTemp       << endl;
		cout << hex << "-importSize                  = " << pdd[1].Size                    << endl;
		DWORD num = 1;
		while(!(ped->FirstThunk == 0x00 && ped->OriginalFirstThunk == 0x00)){
			cout << hex << "--" << num ++ << endl;
			cout << hex << "-importName                  = " << ped->Name<< endl;
			printf(        "-importNameString            = %s\n", RVAToFOA(ped->Name, pFileBuffer) + (DWORD)pFileBuffer);
			printf(        "-importFirstThunk            = %x\n", ped->FirstThunk);
			DWORD oftRva = ped->OriginalFirstThunk;
			DWORD oftFoa = (RVAToFOA(ped->OriginalFirstThunk, pFileBuffer));
			DWORD oftFoaTemp = (RVAToFOA(ped->OriginalFirstThunk, pFileBuffer) + (DWORD)pFileBuffer);

			PIMAGE_THUNK_DATA itd = (PIMAGE_THUNK_DATA)oftFoaTemp;
			cout << hex << "-ThunkDetail------------------------" << endl;
			cout << hex << "----ThunkRVA\t\tThunkFOA\tThunkValue\tHint\t\tName" << endl;
			while(itd->u1.AddressOfData != 0){
				cout <<"\t" << oftRva <<"\t\t" << oftFoa <<"\t\t" << itd->u1.AddressOfData <<"\t\t";
				if(IMAGE_SNAP_BY_ORDINAL(itd->u1.AddressOfData)){
					 printf( "\t0x%04X\n" , itd->u1.AddressOfData & 0xFFFF);
				}else{
					PIMAGE_IMPORT_BY_NAME pib = (PIMAGE_IMPORT_BY_NAME)(RVAToFOA(itd->u1.AddressOfData, pFileBuffer) + (DWORD)pFileBuffer);
					printf( "%04X\t\t%s\n" ,pib->Hint ,pib->Name );
				}
				itd += 1;
				oftRva += sizeof(PIMAGE_IMPORT_BY_NAME);
				oftFoa += sizeof(PIMAGE_IMPORT_BY_NAME);
			}
			ped += 1;
		}
		
	}else{
		PIMAGE_DOS_HEADER idh = NULL;
		PIMAGE_NT_HEADERS64 inh = NULL;
		PIMAGE_OPTIONAL_HEADER64 ioh = NULL;
		PIMAGE_SECTION_HEADER ish = NULL;
		
		idh = (PIMAGE_DOS_HEADER)pFileBuffer;
		inh = (PIMAGE_NT_HEADERS64)((DWORD)pFileBuffer + idh->e_lfanew);
		ioh = &inh->OptionalHeader;
		ish = (PIMAGE_SECTION_HEADER)((DWORD)ioh + inh->FileHeader.SizeOfOptionalHeader);
	
		PIMAGE_DATA_DIRECTORY pdd = ioh->DataDirectory;
		if(pdd[1].VirtualAddress == 0){
			cout << "不存在导入表..." << endl;
			return ;
		}
		DWORD ImportVirtualAddrTemp = pdd[1].VirtualAddress;
		DWORD ImportVirtualAddr = RVAToFOA(ImportVirtualAddrTemp, pFileBuffer);
		cout << hex << "ImportVirtualAddr = " << ImportVirtualAddr << endl;
		
		PIMAGE_IMPORT_DESCRIPTOR ped = (PIMAGE_IMPORT_DESCRIPTOR)(ImportVirtualAddr + (DWORD)pFileBuffer);
		cout << hex << "-----------IMAGE_IMPORT_DESCRIPTOR---------" << endl;
		cout << hex << "-importRVA                   = " << ImportVirtualAddrTemp       << endl;
		cout << hex << "-importSize                  = " << pdd[1].Size                    << endl;
		DWORD num = 1;
		while(!(ped->FirstThunk == 0x00 && ped->OriginalFirstThunk == 0x00)){
			cout << hex << "--" << num ++ << endl;
			cout << hex << "-importName                  = " << ped->Name<< endl;
			printf(        "-importNameString            = %s\n", RVAToFOA(ped->Name, pFileBuffer) + (DWORD)pFileBuffer);
			printf(        "-importFirstThunk            = %x\n", ped->FirstThunk);
			DWORD oftRva = ped->OriginalFirstThunk;
			DWORD oftFoa = (RVAToFOA(ped->OriginalFirstThunk, pFileBuffer));
			DWORD oftFoaTemp = (RVAToFOA(ped->OriginalFirstThunk, pFileBuffer) + (DWORD)pFileBuffer);

			PIMAGE_THUNK_DATA64 itd = (PIMAGE_THUNK_DATA64)oftFoaTemp;
			cout << hex << "-ThunkDetail------------------------" << endl;
			cout << hex << "----ThunkRVA\t\tThunkFOA\tThunkValue\tHint\t\tName" << endl;
			while(itd->u1.AddressOfData != 0){
				cout <<"\t" << oftRva <<"\t\t" << oftFoa <<"\t\t" << itd->u1.AddressOfData <<"\t\t";
				if(IMAGE_SNAP_BY_ORDINAL64(itd->u1.AddressOfData)){
					 printf( "----no Name----\t0x%04X\n" , itd->u1.AddressOfData & 0xFFFF);
				}else{
					PIMAGE_IMPORT_BY_NAME pib = (PIMAGE_IMPORT_BY_NAME)(RVAToFOA(itd->u1.AddressOfData, pFileBuffer) + (DWORD)pFileBuffer);
					printf( "%04X\t\t%s\n" ,pib->Hint ,pib->Name );
				}
				itd += 1;
				oftRva += sizeof(PIMAGE_IMPORT_BY_NAME);
				oftFoa += sizeof(PIMAGE_IMPORT_BY_NAME);
			}
			ped += 1;
		}
	}
}

 

henuyl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IAT详解
cay22的专栏
02-05 7849
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
PE文件结构详解(四)PE导入
zdwcmy的专栏
06-17 396
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
2021-04-06 函数的参数是如何入栈出栈的
mfmfmmf1的专栏
04-06 148
函数的参数是如何入栈出栈的 制作逆向靶 建议用debug版而不是release版,因为release版会自作聪明把很多东西省略掉 在调试器中 寄存器EIP 示当前程序走到哪一步了 ctrl+G 光标定位到某一地址 在单步调试中 右侧哪个寄存器变红了 就是哪个寄存器发生了变化 call 的第一个作用就是 将EIP的值改为函数所在的地址 由硬编码知识 可以计算出返回地址的值,举例 E8 84 FF FF FF (call stack.00401005) 这行硬编码是5个字节 所以 call完的返
滴水逆向学习笔记
BL_zshaom的博客
12-05 564
我是小菜鸡,咯咯咯!!!
滴水逆向学习
m0_75243362的博客
05-09 325
2.攻击别人程序的时候必须了解PE结构,同时也要防止别人进攻自己的程序,所以。PE查看器——>找到代码的起始地址——>找到第一个函数。二进制——>汇编——>C语言。1.字节Byte,由八个位组成的一个单元,也就是。,计算机进行数据存储和数据处理的运算的单位。通常称16位是一个字,而。二.从靠底层的16位进制的编码中找到示程序中符号的方式。windows系统的所有程序都应遵循。字Word,16个位为一 个字,也是。加壳是盾,而调试是矛。
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
总之,"滴水逆向3期作业"提供了一个实践性的平台,帮助学习者掌握PE文件解析和处理的核心概念,包括文件结构、内存映射以及如何进行文件操作。通过这个项目,你不仅可以提升逆向工程技能,还能对Windows应用程序的...
滴水逆向培训基础教程1-5章(内部资料)
03-16
滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训...
滴水三期学习资料汇总.zip
07-04
滴水逆向三期课件资料工具习题汇总,学习逆向必看资源,若是不想自己记笔记可以用点积分节省下时间。 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出...
PE文件导入解析(C++)
05-01
C++实现PE文件的导出解析操作,希望对大家有所帮助。
滴水逆向三期课件(全)
06-02
滴水逆向课程课件,完整版! 滴水逆向课程课件,完整版!
滴水三期视频及课件(海东版).txt
09-08
滴水三期完整视频和课件,就是海东老师录播的版本,本人全部学完感觉受益颇丰. 视频一共96节,每节课都包含对应的课件和习题
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
64位PE文件导入的修改
ava66的专栏
12-09 3473
和32位PE文件没什么大的区别, 只要注意一个结构: #include "pshpack8.h"                       // Use align 8 for the 64-bit IAT. typedef struct _IMAGE_THUNK_DATA64 {     union {         ULONGLONG ForwarderString;  /
data directory(数据目录)之 引入
weixin_33982670的博客
06-28 944
(一)IMAGE_DATA_DIRECTORY STRUCT VirtualAddress dd ? isize dd ? IMAGE_DATA_DIRECTORY ENDS (二)data directory数组第二项(Import symbols)的IMAGE_DATA_DIRECTORY中的VirtualAddress包含引入地址,这块地址是一个 IMAGE_IMP...
Python:data:image/png;base64图片编码解码
热门推荐
彭世瑜的博客
06-24 2万+
编码后的内容,可以在浏览器中直接打开,提示:先去掉回车 data类型的Url大致有下面几种形式 data:,<文本数据> data:text/plain,<文本数据> data:text/html,<HTML代码> data:text/html;base64,<base64编码的HTML代码> data:text/css,<CSS代码> ...
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
最新发布
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值