PE文件解析(4):导入表的解析

最新推荐文章于 2024-04-24 20:27:41 发布
最新推荐文章于 2024-04-24 20:27:41 发布
阅读量852 收藏 8
点赞数 5
分类专栏: 逆向 文章标签: PE 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jj6666djdbbd/article/details/127642842
版权

文章目录

导入表

什么是导入表?
导入表记录了一个exe或者一个dll所用到的其他模块导出的函数。
在这里插入图片描述
数据目录表的第二个元素记录着导入包的位置,导出表我们上节课已经解析过 了,今天我们来解析导入表。

导入表结构体解析

在这里插入图片描述

导入名称表: INT
导入地址表:IAT

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;// 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;// RVA 指向(IMAGE_THUNK_DATA)结构体数组 INT
    } DUMMYUNIONNAME;
    DWORD   TimeDateStamp;     // 时间戳 0 if not bound                              
    DWORD   ForwarderChain;    // -1 if no forwarders
    DWORD   Name;//RVA dll文件名称
	DWORD   FirstThunk;  //  RVA to IAT 导入地址表 IMAGE_THUNK_DATA数组
} IMAGE_IMPORT_DESCRIPTOR;

重要字段:

  • OriginalFirstThunk:是导入表的导入名称表(INT)的RVA。
  • Name:作为导入的DLL文件的名称,RVA。
  • FirstThunk:是导入表的导入地址表(IAT)的RVA。
  • OriginalFirstThunk-->IMAGE_THUNK_DATA 如果IMAGE_THUNK_DATA 最高位为1 则是按序号导入,否则就是按名称导入的。

根据OriginalFirstThunk或者FirstThunk可以得到导入名称表INT和IAT,表示INT和IAT的结构体如下:

typedef struct _IMAGE_THUNK_DATA32 {
    union {
        DWORD ForwarderString;      // PBYTE 
        DWORD Function;             // PDWORD
        DWORD Ordinal;
        DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA32;
  • Ordinal:用来标记此函数是按序号导入还是按照名称导入

INT或者IAT的 AddressOfData字段:是一个RVA,通过它可以得到按名称导入的表 PIMAGE_IMPORT_BY_NAME

typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;//导入函数索引(根据编译器的不同这个地方放的东西不一样)
    CHAR   Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
  • Name:每一个函数的名称

寻找导入表的位置

我们使用010editor工具来寻找导入表的位置:

  1. 首先找到数据目录表的第二个元素,它所存储的偏移及大小表示的是导入表的偏移和大小: 1B17Ch 和80大小。
    在这里插入图片描述

  2. 然后在区段中寻找合适位置:可以看到,第五个区段的RVA是1B000h,在内存中的大小是2339d ,导入表的RVA正好位于此字段内,因此使用公式:导入表的FOA=导入表的RVA - 区段的RVA +区段的FOA,得到了导入表的在文件中的偏移地址: 1b17c - 1b000 + 8000 = 817C
    在这里插入图片描述

  3. 得到的 817C就是我们在文件中的偏移地址,搜索可得:这就是导入表的位置(注意:817C 加上文件基址才是真正的位置,010editor工具可以省略基址直接由偏移得到,但是在代码解析或则其他工具中,我们必须加上文件基址)。
    在这里插入图片描述

代码解析导入表


void cPE::GetImportTable()
{
	//获取导入表的地址
	IMAGE_DATA_DIRECTORY ImPortAddr = pOptionHeader->DataDirectory[1];
	//得到导入表
	PIMAGE_IMPORT_DESCRIPTOR ImportTable = (PIMAGE_IMPORT_DESCRIPTOR)(RvaToFoa(ImPortAddr.VirtualAddress) + FileBuff);
	if (ImportTable == NULL)
	{
		printf("导入表为空!\n");
		return;
	}
	//导入表会有多个,导入表只要不为空,则它的字段也一定不为空,如果它的字段为空,则此导入表遍历到了最后
	while (ImportTable->OriginalFirstThunk)
	{
		printf("TimeDataStamp=%d\n", ImportTable->TimeDateStamp);
		//RVA Name
		char* dllName=RvaToFoa(ImportTable->Name) + FileBuff;
		printf("Dll文件名称: %s\n", dllName);
		//得到导入名称表 INT
		PIMAGE_THUNK_DATA pThunkData = (PIMAGE_THUNK_DATA)(RvaToFoa(ImportTable->OriginalFirstThunk) + FileBuff);

		while (pThunkData->u1.Function)
		{
			//判断是否按序号导入
			if (pThunkData->u1.Ordinal & IMAGE_ORDINAL_FLAG32)	//0x80000000
			{
				printf("按序号导入: %d\n", IMAGE_ORDINAL32(pThunkData->u1.Ordinal));
			}
			else
			{
				//否则就是按名称导入
				PIMAGE_IMPORT_BY_NAME importName = (PIMAGE_IMPORT_BY_NAME)(RvaToFoa(pThunkData->u1.AddressOfData) + FileBuff);
				printf("按名称导入: %s\n", importName->Name);
			}
			pThunkData++;
		}
		ImportTable++;
	}
}

运行如下:打印出调用此程序的导入的所有的dll文件所加载的函数,按名称或者序号导入。
在这里插入图片描述

可以看到:导入表的位置和我们在010editor中解析的导入表的位置一致
在这里插入图片描述
在这里插入图片描述

Yuleo_
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IATHOOK 易语言 还有PE文件格式解析 导入 导出
01-20
适合小白练习
2.5 PE结构:导入详细解析
热门推荐
CSDN
09-05 1万+
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE文件导入,动态链接库中的函数应该如何导入
最新发布
yjh_fnu_ltn的博客
04-24 1130
(第一个位置的函数已经被导入),结合内存中的值可以说是一模一样,后面的函数一次再INT中取值,找到对应的函数名,通过GetProcAddress方法拿到对应函数的地址,再将其填入IAT,一致循环知道INT被拿完,则所需的kernel.dll动态链接库中的全部函数均导入完毕。另外,再代码中我们可以看到,调用动态链接库导入的函数,都是以取一个地址后,call该地址处的值来进行调用,而不是直接call函数的地址,为什么要进行一次。的起始地址,后续共kermel.dll需要导入的23个函数全部导入到内存中。
12.PE文件导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5484
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE-导入
megaparsec
12-19 1933
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件 - 导入
weixin_45012273的博客
11-11 1255
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE导入解析和注入
windows小菜鸡的博客
08-19 640
1、导入 导入是在可选PE头得数据目录项得第二项 其结构如下 其中name是一个RVA,是DLL的名字 OriginalFirstThunk指向INT,为 IMAGE_THUNK_DATA32的结构。这个结构的值中如果最高位为1 ,那么除去最高位的值函数的导出序号,否则为指向IMAGE_IMPORT_BY_NAME的RVA 其结构如下 其中Hint值无关紧要。 ** FirstThunk** 指向的是IAT,其内容结构与OriginalFirstThunk指向的INT一模一样 2、程序启动
PE文件导入解析(C++)
05-01
通过阅读和理解这些源代码,我们可以学习如何在C++中处理PE文件结构,以及如何访问和解析导入。 总结来说,解析PE文件导入是理解和调试Windows程序的关键技能。通过C++编程,我们可以直接操作文件的二进制...
PE 输入 解析 python
11-03
PE文件头可选映像头中数据目录的第二成员指向输入,输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个...
PE文件解析
12-01
- **解析导入和导出**: 寻找并解析这两个,以理解文件的依赖性和功能。 - **处理资源和重定位信息**: 分析资源和重定位,了解资源内容和文件如何适应不同内存布局。 - **处理调试信息和证书**: 对于调试...
ParsePe_等价替换PE文件指令_解析PE文件_
10-03
4. **导出和导入**:PE文件可能包含导出(Export Table),用于其他模块调用其函数,以及导入(Import Table),引用了其他模块的函数或资源。 5. **重定位和资源**:PE文件可能需要进行重定位,即根据加载时...
PE文件学习笔记(五):导入、IAT、绑定导入解析
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
导入解析,IAT解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 858
我们再上一章节简要介绍了IAT,我们知道如果程序调用dll中的函数时,必须通过IAT来找到函数,我们基本了解了IAT之后,我们今天来讲解一下导入,通过本章节的学习,我们可以了解导入,也能对IAT有一个更深入的了解。
PE文件导入
weixin_43742894的博客
04-01 1768
一个PE文件中的导入,简单来说就是代了该模块调用了哪些外部的API。 导入逆向和病毒分析中比较重要的一个,在分析病毒时几乎第一时间都要看一下程序的导入的内容,判断程序大概用了哪些功能。
PE结构】5.导入
SMOne
06-25 1926
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
打印导出
qq_41232519的博客
10-05 608
文章目录一、流程二、演示三、完整代码 一、流程 1、创建一个RVA转FOA的函数 2、创建一个打印导出的函数 3、File-> FileBuffer 4、获取头信息 5、获取结构体数组的信息 6、获取导出的地址Rva 7、获取导出的地址Foa 8、导出文件中的地址 9、打印导出的成员属性 10、将导出Name、AddressOfNames、AddressOfFunctions、AddressOfNameOrdinals的Rva转换成Foa 11、 打印导出文件名 12、获取导出函数地址
PE结构-导入
小喇叭儿滴滴的吹
02-13 420
首先就是确定如何定位导入的位置,导入是位于数据目录项的第二项 前四个字节为相对虚拟地址(RVA),后四个字节为大小(这里做个参考,不依赖) 好了,既然是RVA,那么说的就是内存中情况,那么如何在文件中定位到导入位置呢,这里我们则需要做的就是将RVA转换为FA,这里的话就大致来说明一下,不清楚的可以参考下其他博客 先来看一下节区的分布情况,有2个节,分别在0x1000处和0x2000...
PE文件结构-导入详解
wxf明的博客
12-30 1577
PE文件运行时,PE文件将被系统加载进入内存中,此时Windows加载器会定位所有的导入的函数或者将定位到的内容填写到可执行文件的某个位置供使用,这个定位是需要借助于可执行文件导入来实现的。导入中存放了所使用的DLL模块名称及导入函数的名称或者函数序列。 在PE文件中定位到PE头部的可选头的位置,可选头IMAGE_OPTIONAL_HEADER中最后一个成员: IMAGE_DATA_DI...
vc编写pe文件解析工具
08-29
例如,我们可以通过解析导入,查找和打印出PE文件中使用的外部函数和库文件;我们还可以通过解析导出,获取到PE文件中自身的导出函数等。 总的来说,VC编写PE文件解析工具需要通过对PE文件结构和内容的深入理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yuleo_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值