定位IAT并输出导入函数名称和对应的函数地址

最新推荐文章于 2021-11-09 21:18:41 发布
最新推荐文章于 2021-11-09 21:18:41 发布
阅读量701 收藏
点赞数
分类专栏: 其它 文章标签: descriptor image header import byte dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lapcca/article/details/5984299
版权
 1 #include  < stdio.h >
 2 #include  < windows.h >
 3
 4 void  main()
  5 {
  6 // 取得主模块的模块句柄(即进程模块基地址)
 7 HMODULE hMod  =  GetModuleHandle(NULL);
  8
 9 // 把进程基址赋给pDosHeader,即起始基址就是PE的IMAGE_DOS_HEADER
10 IMAGE_DOS_HEADER *  pDosHeader  =  (IMAGE_DOS_HEADER * )hMod;
 11
12 // 定位到PE HEADER
 13 // 基址hMod加上IMAGE_DOS_HEADER结构的e_lfanew成员到达IMAGE_NT_HEADERS
 14 // NT文件头的前4字节是文件签名("PE00" 字符串),然后是20字节的IMAGE_FILE_HEADER结构
 15 // 即到达IMAGE_OPTIONAL_HEADER结构的地址,获取了一个指向IMAGE_OPTIONAL_HEADER结构体的指针
16 IMAGE_OPTIONAL_HEADER  *  pOptHeader  =
17 (IMAGE_OPTIONAL_HEADER  * )((BYTE * )hMod  +  pDosHeader -> e_lfanew  +   24 );
 18
19 // 定位到导入表
 20 // 通过IMAGE_OPTIONAL_HEADER结构中的DataDirectory结构数组中的第二个成员中的
 21 // VirturalAddress字段定位到IMAGE_IMPORT_DESCRIPTOR结构的起始地址
 22 // 即获得导入表中第一个IMAGE_IMPORT_DESCRIPTOR结构的指针(导入表首地址)
23 IMAGE_IMPORT_DESCRIPTOR *  pImportDesc  =  (IMAGE_IMPORT_DESCRIPTOR * )
 24 ((BYTE * )hMod  +  pOptHeader -> DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
 25
26 while (pImportDesc -> FirstThunk)
 27 {
 28 // 遍历结构的OriginalFirstThunk字段所指向的IMAGE_IMPORT_BY_NAME结构得到导出函数名
 29 // 遍历IMAGE_IMPORT_DESCRIPTOR结构的FirstThunk数组得到每个函数的地址
 30
31 // 导出模块的名称
32 char *  pszDllName  =  ( char * )((BYTE * )hMod  + pImportDesc -> Name);
 33 printf( " /n模块名称:%s /n " , pszDllName);
 34
35 //  一个IMAGE_THUNK_DATA就是一个双字,它指定了一个导入函数
36 IMAGE_THUNK_DATA *  pThunk  =  (IMAGE_THUNK_DATA * )
 37 ((BYTE * )hMod  +  pImportDesc -> OriginalFirstThunk);
 38 int  n  =   0 ;
 39 while (pThunk -> u1.Function)
 40 {
 41 //  取得函数名称。hint/name表前两个字节是函数的序号,后4个字节是函数名称字符串的地址
42 char *  pszFunName  =  ( char * )
 43 ((BYTE * )hMod  +  (DWORD)pThunk -> u1.AddressOfData  +   2 );
 44 //  取得函数地址。IAT表就是一个DWORD类型的数组,每个成员记录一个函数的地址
45 PDWORD lpAddr  =  (DWORD * )((BYTE * )hMod  +  pImportDesc -> FirstThunk)  +  n;
 46
47 //  打印出函数名称和地址
48 printf( "    从此模块导入的函数:%-25s, " , pszFunName);
 49 printf( " 函数地址:%X /n " , lpAddr);
 50 n ++ ; pThunk ++ ;
 51 }
52
53 pImportDesc ++ ;
 54 }
55 MessageBox(NULL, " Test " , " Test " , 0 );
 56 }
lapcca
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
导入表结构复习 导入模块,函数名称地址遍历
Catch me if you can
05-03 2144
关于PE结构导入表,以前只是手动分析,没有通过编程来实现。而且PE文件结构,不巩固的话,一段时间之后就会忘记,所以记录下这次试验,为IAT挂钩做好准备,也算是复习一下。测试环境:windows xp sp3
IAT导入函数地址表 | IT导入
VI___
10-18 1955
之前对 IAT 的理解一直比较模糊,现在通过一个简单脱壳来梳理一下。 一、场景 用到的两个素材如下,一个没壳,一个有UPX壳。 首先在Crackme中查看MessageBoxA函数的入口地址,不同系统不同版本可能地址不一样,这个程序在我电脑上运行正常,可能在别的电脑上就会出错,为了解决这个兼容问题,IAT导入函数地址表)就诞生了。 二、栗子 在OD中右键查看所有模块间...
IAT HOOK及遍历IAT
哈尔滨-猫猫
01-03 830
// ConsoleApplication2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include // 定义MessageBoxA函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType); int W
定位IAT
06-17 1072
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。    1.简单方法:    直接通过以运行的exe文件来定位IAT      #include     #include void main()    {    HMODULE hMod = ::GetModuleHandle(NULL); //已运行的
导出函数
free__eagle的专栏
06-23 151
下面的函数,只需要传递要下载数据的grid即可 此函数下载grid的数据时,如果grid中某些字段被隐藏,则不会下载 因此,可以让用户自定义下载时需要的列 提供给楼主参考一下 注意:要允许ACTIVEX控件的运行,要不EXCEL无法打开,就不行了. //--------------------------------------------------------------- /...
精选_根据PE文件格式从导入表中获取加载的DLL并遍历导入函数名称地址_源码打包
03-09
标题中的“精选_根据PE文件格式从导入表中获取加载的DLL并遍历导入函数名称地址_源码打包”表明这是一个关于解析PE(Portable Executable)文件格式的编程实践,特别是关注如何从PE文件的导入表中提取DLL(动态...
(转)替换 IAT 中的导入函数地址实现 Hook API
05-27
在标题和描述中提到的替换 IAT 中的导入函数地址,就是一种 Hook API 的方法。具体步骤如下: 1. **获取模块句柄**:首先,需要获取目标模块的句柄,例如 `GetModuleHandle(NULL)` 会返回当前进程的主模块句柄,...
导入地址表.zip
06-02
4. **重定位IAT**: 找到函数地址后,操作系统会将IAT中的函数函数地址指针替换为实际的函数入口点,完成IAT的重定位。 5. **执行调用**: 程序运行时,函数调用通过已更新的IAT来执行,确保调用的是正确模块的...
查看PE文件中导入函数(源码)
10-31
导入表由若干个导入描述符(Import Descriptor)组成,每个描述符对应一个特定的DLL,并包含了该DLL的所有导入函数信息。 VC++源码实现查看PE文件导入函数的过程通常包括以下几个步骤: 1. **文件读取**:首先,你...
内存加载驱动处理重定位导入
06-11
导入表包含了一组导入地址表项(IATImport Address Table),每个表项对应一个函数入口点。在驱动加载时,PE加载器会解析导入表,找到函数的实际地址,并填充到IAT中。如果依赖的函数在动态链接库(DLL)中,加载...
PE文件详解(六)
Masimaro的专栏
03-21 3030
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节表和数据目录表,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录表进行索引和通过节表进行索引都是可以找到的,也可以这么说,同一个数据在节表和数据目录表中都有一份索引值,那么这两个表有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
IMAGE_IMPORT_DESCRIPTOR结构
Ghjhfssfgk的博客
01-28 967
IMAGE_IMPORT_DESCRIPTOR结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { DWORD OriginalFirstThunk; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThunk; } IMAGE_IMPORT...
导入表内注入代码(一)
domisou
09-23 1972
 导入表内注入代码(一)作者: Ashkbiz Danehkar翻译:小刀人原文出处下载源代码(包括:itview.zip (87.1 KB) pemaker6.zip (96.6 KB) pemaker7.zip (193 KB)zimport.zip (130 KB)。译注:本文代码可在VS2003及WINDOWSXP+sp2下正常运行,Windows2000下ITview功能
获取IAT里的函数地址并修改
stonesharp的专栏
07-15 7668
/* 1 */HANDLE hCurrent = GetModuleHandle(NULL);/* 2 */IMAGE_DOS_HEADER *pidh;/* 3 */IMAGE_NT_HEADERS *pinh;/* 4 */IMAGE_DATA_DIRECTORY *pSym
Windbg查看函数的参数
aoebug的博客
07-22 8990
用Windbg挂载到notepad.exe中,在CreateFile函数上下断点 0:001> bp kernel32!CreateFileW 0:001> bp kernel32!CreateFileA 在notepad上选择保存,Windbg停止在CreateFileW的入口点 Breakpoint 1 hit eax=00000000 ebx=00000001 ecx=0007
滴水逆向三期实践16:IAT表和导入
Rivival_S 的博客
11-09 2680
IAT表 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
获取IAT表中的函数地址
最新发布
06-01
获取IAT表中的函数地址可以使用以下步骤: 1. 获取PE文件的基地址 2. 定位到PE文件的导入表(Import Table),获取导入表的 RVA 和 Size 3. 遍历导入表中的每一个导入描述符(Import Descriptor) 4. 对于每一个导入描述符,获取名称表(Name Table)的 RVA 和 Size,以及导入地址表(Import Address Table,也称为IAT)的 RVA 5. 遍历导入地址表中的每一个函数地址,即可获取IAT表中的函数地址。 下面是伪代码实现: ```C++ // 获取PE文件基地址 HMODULE hModule = GetModuleHandle(NULL); // 获取导入表 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew); PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hModule + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); DWORD dwImportSize = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size; // 遍历导入表 while (pImportDesc->Name != 0) { // 获取名称表和IAT表 PIMAGE_THUNK_DATA pNameTable = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->OriginalFirstThunk); PIMAGE_THUNK_DATA pIat = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->FirstThunk); // 遍历IAT表中的每一个函数地址 while (pNameTable->u1.AddressOfData != 0) { // 获取函数名称 PIMAGE_IMPORT_BY_NAME pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)hModule + pNameTable->u1.AddressOfData); LPCSTR lpFunctionName = (LPCSTR)pImportByName->Name; // 获取函数地址 FARPROC fpFunction = (FARPROC)pIat->u1.Function; // 处理函数地址 // ... // 下一个函数 pNameTable++; pIat++; } // 下一个导入描述符 pImportDesc++; } ``` 注意:在遍历导入表时,需要检查导入描述符的 Name 字段是否为 0,以判断是否到达导入表的末尾。在遍历IAT表时,需要检查名称表中的 AddressOfData 字段是否为 0,以判断是否到达IAT表的末尾。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值