定位IAT表

最新推荐文章于 2023-04-16 23:05:09 发布
最新推荐文章于 2023-04-16 23:05:09 发布
阅读量768 收藏 1
点赞数
文章标签: image descriptor header byte import dos 
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。

    1.简单方法:
    直接通过以运行的exe文件来定位IAT

      #include <stdio.h>
    #include <windows.h>

void main()    
{
    HMODULE hMod = ::GetModuleHandle(NULL); //已运行的exe文件在内存中的基地址 为一般0x400000h
                                                                              //,也就是通常所说的IMAGEBASE


    IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hMod;
    IMAGE_OPTIONAL_HEADER * pOptHeader =
        (IMAGE_OPTIONAL_HEADER *)((BYTE*)hMod + pDosHeader->e_lfanew + 24); 

    IMAGE_IMPORT_DESCRIPTOR* pImportDesc = (IMAGE_IMPORT_DESCRIPTOR*)
        ((BYTE*)hMod + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress/*RVA值*/);

    while(pImportDesc->FirstThunk)
    {
        char* pszDllName = (char*)((BYTE*)hMod +pImportDesc->Name/*RVA值*/);
        printf("\n模块名称:%s \n", pszDllName);
    
        
        // 一个IMAGE_THUNK_DATA就是一个双字,它指定了一个导入函数
        IMAGE_THUNK_DATA* pThunk = (IMAGE_THUNK_DATA*)
            ((BYTE*)hMod + pImportDesc->OriginalFirstThunk);
        int n = 0;
        while(pThunk->u1.Function)
        {
            // 取得函数名称。hint/name表前两个字节是函数的序号,后4个字节是函数名称字符串的地址
            char* pszFunName = (char*)
                ((BYTE*)hMod + (DWORD)pThunk->u1.AddressOfData + 2);
            // 取得函数地址。IAT表就是一个DWORD类型的数组,每个成员记录一个函数的地址
            PDWORD lpAddr = (DWORD*)((BYTE*)hMod + pImportDesc->FirstThunk) + n;//RVA+ImageBase

            // 打印出函数名称和地址
            printf(" 从此模块导入的函数:%-25s,", pszFunName);
            printf("函数地址:%X \n", lpAddr);
            n++; pThunk++; //指向下一个FirstThunk结构
        }
        
        pImportDesc++;//下一个导入表descriptor,也就是在本进程载入的下一个dll文件中查找
    }
}


2.通过内存映射文件读取exe文件来到处IAT

先转载一下别人提供的代码,
#include "stdafx.h"
#include <stdio.h>
#include <windows.h>

DWORD RVAToOffset(LPVOID lpBase,DWORD VirtualAddress)
{
    IMAGE_DOS_HEADER *dosHeader;
    IMAGE_NT_HEADERS *ntHeader;
    IMAGE_SECTION_HEADER *SectionHeader;
    int NumOfSections;
    dosHeader=(IMAGE_DOS_HEADER*)lpBase;
    ntHeader=(IMAGE_NT_HEADERS*)((BYTE*)lpBase+dosHeader->e_lfanew);
    NumOfSections=ntHeader->FileHeader.NumberOfSections;
    for (int i=0;i<NumOfSections;i++)
    {
        SectionHeader=(IMAGE_SECTION_HEADER*)((BYTE*)lpBase+dosHeader->e_lfanew+sizeof(IMAGE_NT_HEADERS))+i;
        if(VirtualAddress>SectionHeader->VirtualAddress&&VirtualAddress<SectionHeader->VirtualAddress+SectionHeader->SizeOfRawData)
        {
            DWORD AposRAV=VirtualAddress-SectionHeader->VirtualAddress;
            DWORD Offset=SectionHeader->PointerToRawData+AposRAV;
            return Offset;
        }
    }
    return 0;
}

int main(int argc, char* argv[])
{
    //打开文件
    HANDLE hFile=CreateFile(argv[1],GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
    if(hFile==INVALID_HANDLE_VALUE)
    {
        printf("CreateFile Failed\n");
        return 0;
    }
    //创建内存映射文件的内核对象
    HANDLE hMap=CreateFileMapping(hFile,NULL,PAGE_READONLY,NULL,NULL,NULL);
    if(hMap==INVALID_HANDLE_VALUE)
    {
        printf("CreateFileMapping Failed\n");
        return 0;
    }
    //把文件映射入内存
    LPVOID lpBase=MapViewOfFile(hMap,FILE_MAP_READ,0,0,0);
    if(lpBase==NULL)
    {
        printf("MapViewOfFile Failed\n");
        return 0;    
    }
    IMAGE_DOS_HEADER *dosHeader;
    IMAGE_NT_HEADERS *ntHeader;
    IMAGE_IMPORT_BY_NAME *ImportName;
    //lpBase由MapViewOfFile函数返回
    dosHeader=(IMAGE_DOS_HEADER*)lpBase;
    //检测是否是有效的PE文件
    if (dosHeader->e_magic!=IMAGE_DOS_SIGNATURE)
    {
        printf("This is not a windows file\n");
        return 0;
    }
    //定位到PE header
    ntHeader=(IMAGE_NT_HEADERS*)((BYTE*)lpBase+dosHeader->e_lfanew);
    if(ntHeader->Signature!=IMAGE_NT_SIGNATURE)
    {
        printf("This is not a win32 file\n");
        return 0;
    }
    //定位到导入表
    IMAGE_IMPORT_DESCRIPTOR *ImportDec=(IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)lpBase+RVAToOffset(lpBase,ntHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress));
    while(ImportDec->FirstThunk)
    {
        //得到DLL文件名
        char *pDllName=(char*)((BYTE*)lpBase+RVAToOffset(lpBase,ImportDec->Name));
        printf("\nDLL文件名:%s\n",pDllName);
        //通过OriginalFirstThunk定位到PIMAGE_THUNK_DATA结构数组
        PIMAGE_THUNK_DATA pThunk=(PIMAGE_THUNK_DATA)((BYTE*)lpBase+RVAToOffset(lpBase,ImportDec->OriginalFirstThunk));
        while(pThunk->u1.Function)
        {
            //判断函数是用函数名导入的还是序号导入的
            if(pThunk->u1.Ordinal& IMAGE_ORDINAL_FLAG32)
            {
                //输出序号
                printf("从此DLL模块导出的函数的序号:%x\n",pThunk->u1.Ordinal&0xFFFF);
            }
            else
            {
                //得到IMAGE_IMPORT_BY_NAME结构中的函数名
                ImportName=(IMAGE_IMPORT_BY_NAME*)((BYTE*)lpBase+RVAToOffset(lpBase,(DWORD)pThunk->u1.AddressOfData));
                printf("从此DLL模块导出的函数的函数名:%s\n",ImportName->Name);
            }
            pThunk++;
        }
        ImportDec++;
    }
    UnmapViewOfFile(lpBase);
    CloseHandle(hMap);
    CloseHandle(hFile);
    return 0;
}

尘埃_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析导入IAT
hambaga的博客
05-21 1751
一、导入的结构 导入的结构看起来复杂,其实只是套娃,不要被它吓到了。 导入的定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
iat输入hook的源码
最新发布
09-14
- **定位IAT**:首先,我们需要找到目标函数所在的模块(DLL)的IAT,这通常通过解析PE文件结构来完成。 - **找到目标函数**:在IAT中查找目标函数的入口,这涉及到解析IAT条目和对应的函数名。 - **备份原始地址...
(5) 定位IAT
eldn__的专栏
10-03 1382
一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话看其他的地址就知道了,一般就是100000)跟随。 5,上下查看有函数的起始和终止地址
IAT详解
cay22的专栏
02-05 7853
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
定位IAT
06-17 1074
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。    1.简单方法:    直接通过以运行的exe文件来定位IAT      #include     #include void main()    {    HMODULE hMod = ::GetModuleHandle(NULL); //已运行的
IAT
crkres9527
09-27 608
A、初识IAT     B、IAT相关结构     C、读出IAT项     D、编写代码测试分析       E、HOOK IAT     F、测试分析 A、认识IAT 导入函数 B、IAT相关结构 PIMAGE_DOS_HEADER //-&gt;e_lfanew //PE文件头偏移值 PIMAGE_NT_HEADERS //-&gt;OptionalHeade...
IAT.rar_IAT_iat 注入
09-21
2. **找到IAT**:在PE文件的内存映像中定位IAT,找到待注入函数的入口点。 3. **备份原始IAT**:为了安全和可恢复性,通常需要备份原始的IAT,以防注入失败或需要恢复原状。 4. **注入代码**:创建或获取自定义...
Hook IAT hookdll资源
11-21
- **重定位法**:利用PE文件的重定位,将API调用重定向到钩子函数。 - **Detour库**:Microsoft的Detour库提供了一种更高级的方法,允许动态创建钩子,无需修改目标进程的IAT。 5. **封装类**: 在给定的...
通过修改DLL文件的IAT来实现的hook开发包源码
06-17
IAT包含了程序依赖于其他模块的所有函数的入口地址,这样程序就可以在运行时调用这些函数。 Hook技术则是通过在函数调用的路径上设置一个“钩子”,即插入一段代码,来改变原有函数的行为。通常,Hook分为两种...
SE2.40 IAT修复v2.0,此脚本可修复散列IAT
03-16
总的来说,SE2.40 IAT修复v2.0是一个针对特定版本(SE2.40)的IAT修复工具,利用散列技术来定位和修复受损的导入地址,以保证软件的正常运行。这个工具是开源的,意味着开发人员和高级用户可以深入研究其工作原理...
IAT注入模块
07-30
对应于文章的IAT注入模块的示例,自己写的例子,直接可以运行。
第八课 定位IAT
weixin_30662011的博客
08-28 135
定位IAT 一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话...
IAT、导入(滴水)
若面朝大海边竹妮春暖花开的博客
05-14 383
IAT 我们用OD查看程序中调用API时是4070BC中存储的值 4070BC中存储的是一个函数地址,这个地址是一个dll提供的空间 文件对齐和内存对齐相同 我们在文件中查看70bc调用的地址是7604 7604中存储的是MessageBox,是函数名称 可以看出程序运行前和运行后不同 是使用了动态链接库,动态链接库只有在程序运行时才会加载到程序中 如果调用是我们自己写的程序,地址都是写死的 为了防止dll文件重定位,所以调用dll中函数时不能将地址直接确定 所有dll加载完后,在确定地址 导入
Hook进程IAT
u011569253的博客
05-10 635
这两天研究下IAT的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单的hook IAT。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IAT在PE文件中的位置,当你有了这些知识之后就可以对IAT做hook了。这里我就不对IAT做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
滴水三期:day39.1-IAT和导入
Edimade的博客
04-16 579
一、引入IAT(1.调用自己写的函数 > 2.调用DLL中的函数 > 3.易错误区)二、导入(1.导入是什么 > 2.定位导入 > 3.导入结构 > 4.IAT和INT > 5.总结)三、作业(1.打印程序运行前的导出
输入IAT以及输出
weixin_34416649的博客
06-20 393
输入IAT与输出 ImportTable : 00002010 RVA to FOA 所以输入在文件中的地址为 2010 - 2000 + 600 = 610 ImportAddressTable(IAT): 00002000 IAT在文件中的地址为: 2000 - 2000 ...
滴水逆向三期实践16:IAT和导入
Rivival_S 的博客
11-09 2714
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
IAT是如何实现的
zzx的博客
12-16 2303
我们知道当程序要调用系统dll时,会用到IAT 具体是怎么实现的呢, 假设我们程序中某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址中是一个jmp [A],A中存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A中存放的数据,而不是A本身,A中存放的数据
导入解析,IAT解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 861
我们再上一章节简要介绍了IAT,我们知道如果程序调用dll中的函数时,必须通过IAT来找到函数,我们基本了解了IAT之后,我们今天来讲解一下导入,通过本章节的学习,我们可以了解导入,也能对IAT有一个更深入的了解。
获取IAT中的函数地址
06-01
获取IAT中的函数地址可以使用以下步骤: 1. 获取PE文件的基地址 2. 定位到PE文件的导入Import Table),获取导入的 RVA 和 Size 3. 遍历导入中的每一个导入描述符(Import Descriptor) 4. 对于每一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值