PE文件中的IAT和IET

最新推荐文章于 2024-03-14 23:00:00 发布
最新推荐文章于 2024-03-14 23:00:00 发布
阅读量1k 收藏 4
点赞数 2
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learn112/article/details/111930545
版权

PE文件中的IAT和IET

IAT

IAT中文名叫导入地址表

在IAT中存放的是导入的函数的RVA数组,每个元素对应一个函数的地址(RVA)

通过这个RVA即可找到导入函数的位置

所以说我们必须先知道IAT在哪

1.找到可选头结构体的最后一个成员

可选头结构体的最后一个成员是DataDirectory

它是一个结构体数组

typedef struct _IMAGE_OPTIONAL_HEADER {
  WORD                 Magic;
  BYTE                 MajorLinkerVersion;
  BYTE                 MinorLinkerVersion;
  DWORD                SizeOfCode;
  DWORD                SizeOfInitializedData;
  DWORD                SizeOfUninitializedData;
  DWORD                AddressOfEntryPoint;
  DWORD                BaseOfCode;
  DWORD                BaseOfData;
  DWORD                ImageBase;
  DWORD                SectionAlignment;
  DWORD                FileAlignment;
  WORD                 MajorOperatingSystemVersion;
  WORD                 MinorOperatingSystemVersion;
  WORD                 MajorImageVersion;
  WORD                 MinorImageVersion;
  WORD                 MajorSubsystemVersion;
  WORD                 MinorSubsystemVersion;
  DWORD                Win32VersionValue;
  DWORD                SizeOfImage;
  DWORD                SizeOfHeaders;
  DWORD                CheckSum;
  WORD                 Subsystem;
  WORD                 DllCharacteristics;
  DWORD                SizeOfStackReserve;
  DWORD                SizeOfStackCommit;
  DWORD                SizeOfHeapReserve;
  DWORD                SizeOfHeapCommit;
  DWORD                LoaderFlags;
  DWORD                NumberOfRvaAndSizes;
  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

它的每个元素是一个IMAGE_DATA_DIRECTORY(IDD)结构体

typedef struct _IMAGE_DATA_DIRECTORY {
  DWORD VirtualAddress;
  DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

2.找DataDirectory数组的第二个成员

在这里插入图片描述

上图就是DataDirectory数组,每个元素就是上面说的IDD结构体

我们找到第二个元素IMPORT Table

可以得到它的RVA和Size(对应的就是IDD结构体的VirtualAddress和Size成员)

3.通过找到的RVA我们转到IMPORT Table的地址

这个地址也是一个结构体数组,每个元素都是一个IMAGE_IMPORT_DESCRIPTOR(IID)结构体

该结构体有20个字节大小

typedef struct _IMAGE_IMPORT_DESCRIPTOR{
	union{
		DWORD Characteristics;
		DWORD OriginalFirstThunk;	//INT的RVA
	};
	DWORD TimeDateStamp;
	DWORD ForwarderChain;
	DWORD Name;						//导入的库的名称的RVA
	DWORD FirstThunk;				//IAT的RVA
}IMAGE_IMPORT_DESCRIPTOR;

通过该结构体的最后一个成员我们得到IAT的RVA

在这里插入图片描述

上图中蓝色部分即为IMPORT Table数组中的第一个元素

4.通过IID找IAT

找到IID后(这里我们选的是IMPORT Table数组中的第一个元素)

通过最后一个4字节成员0x1000(即IAT的RVA),找到IAT的地址

在这里插入图片描述

图中蓝色部分即为导入函数的RVA,

注意IAT是一个地址数组,数组元素全都是导入函数的RVA

这里,我们选第一个地址0xC1708,转到相应地址查看

在这里插入图片描述

可以看到导入函数的相应信息

注意:这里的相关信息是一个IMAGE_IMPORT_BY_NAME结构体(图中蓝色部分)

其实上面的IAT地址处是地址数组,也是IMAGE_IMPORT_BY_NAME结构体的指针数组

每个地址都是一个IMAGE_IMPORT_BY_NAME结构体的指针

IMAGE_IMPORT_BY_NAME结构体定义如下:

typedef struct _IMAGE_IMPORT_BY_NAME{
	WORD Hint;				//导入函数的源(就是一个标识)
	BYTE Name[1];			//导入函数的名称
}IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

IET

IET简单理解就是一个应用程序或库需要给别的程序用的函数,即导出函数表

怎么找到IET的导出函数的地址?

1.找可选头最后一个成员DataDirectory

找到DataDirectory[0]

DataDirectory的第一个元素就是EXPORT Table

在这里插入图片描述

通过其RVA转到相应地址

2.找到IET倒数第三个成员

在这里插入图片描述

上图蓝色部分即为IET,可以发现:

IET地址处只有一个结构体(IED,40个字节),与IAT地址处相比较,IAT地址处是一个结构体数组,每个元素都是一个20字节的IID结构体

IET地址处的结构体为IMAGE_EXPORT_DIRECTORY(IED)

IED结构体定义如下:

typedef struct _IMAGE_EXPORT_DIRECTORY{
	DWORD Characteristics;
	DWORD TimeDateStamp;
	WORD MajorVersion;
	WORD MinorVersion;
	DWORD Name;					//库的名称地址(RVA)
	DWORD Base;
	DWORD NumberOfFunctions;
	DWORD NumberOfNames;
	DWORD AddressOfFunctions;	//导出函数的起始地址(RVA)这个地址里面										是一个地址数组,每个地址就是一个导出函数的地址
	DWORD AddressOfNames;		//库中导出函数的名称地址(RVA)
	DWORD AddressOfNameOrdinals;
}IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

找到AddressOfFunctions的RVA

在这里插入图片描述

3.通过找到的AddressOfFunctions转到相应地址

转到B5A0C

在这里插入图片描述

这里我们随便选一个地址看看,如第一个4EF9A(RVA),将其加上文件映射基址(我的环境下是77DE0000),得到77E2EF9A(VA)
77E2EF9A这个地址在OD中即可找到相应导出函数(但是我的环境下不知道为什么OD不显示…请大神指点)

learn112
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE工具 IATRebulid-V1.02 IAT 重建工具
03-16
IATPE文件的一个关键组成部分,它记录了程序需要调用的外部函数所在的模块和函数地址。当程序运行时,操作系统负责将IAT的虚地址转换为实际内存的物理地址,使得程序能够正确调用到这些函数。IAT的完整性对于...
(3)手动查找IAT
~
05-25 123
找到入口段点的第二行,数据窗口跟随这时的ESP并下硬件访问断点,F9进入断点(OEP已在附近),找到0040开头的第一行OEP,向下找一个系统函数并follow(enter),向上找到第一行的ds即为IAT起始位置,如:下图起始位置为4E010C。提前用LordPE直接脱壳,或找到OEP后使用olldump脱壳为unpack.exe。打开重建工具修改RVA及大小(大小一般写1000即可),Fix dump。
什么是 IAT(一)
北冥有鱼的Blog
03-13 9990
转自:信安之路IAT 三连之什么是 IAT?原创 2018-02-26 x-encounter 信安之路IAT 的全称是 ImportAddress Table。在可执行文件使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入表来完成的。导入...
WINNT.H内的_IMAGE_IMPORT_BY_NAME 变长数组示例
MessCodes
02-16 2913
研究WINNT.H里面的导入名表结构体_IMAGE_IMPORT_BY_NAME 时,发现一个问题,结构体成员Name数组竟然是1,但是实际上反汇编看到是一个不同长度的字符串。怎么实现的呢?很多人在网上提到如下说法,但没有深入分析为什么。这里就给出一个参考例子。说明怎么搭建那个名字表的。当然这个名字表都是由 typedef struct _IMAGE_THUNK_DATA32 {
解析导入表
tscg_的博客
04-22 98
假设我们去一个饭店,服务员给我们一张菜单,上面写了有哪些菜,多少钱;这就相当于导出表。而作为顾客,我们也要填写一个单子,上面写了我们要吃什么,点的什么菜;这就相当于一张导入表。在数据目录,第二个结构就是导入表:同样,从导入表结构的成员Name指向dll名字可以看出,一个导入表对应一个Name,而一个Name对应一个dll。所以,如果需要导入多个dll,就需要多个导入表结构。因此,多个数据目录表里面的导入表的VirtualAddress也指向多个导入表结构。
IAT表入门简析【滴水逆向三期52笔记】
WdIg-2023的博客
04-01 457
如果我们讲函数写在程序的源文件,那么该函数就会被编译器直接编译到程序的二进制文件,在程序调用该函数的时候,E8后跟的地址是直接写死的,程序直接在exe文件找到函数,也被称为直接寻址,因为程序可以直接从自生的二进制文件找到函数。我们知道,exe在运行的时候,会有自己独立的4GB空间,exe贴到4GB空间的时候,基本上都能按照exe文件预定的位置贴上去,但是dll文件就不一样,它每次贴的位置可能都不一样,所以MessageBox函数的地址也不一样,那程序如何调用MessageBox函数呢?
修改exe PE格式IAT API钩子 通过修改IAT表实现 截获API调用,替换之.zip
01-19
在提供的文件列表,`1修改PE格式IAT API钩子 通过修改IAT表实现 截获MessageBoxW MessageBoxA等API 可自由修改自定义API实现函数.txt`很可能包含了具体实现的步骤和代码示例。`Module32First ...
C++的PE文件操作类
08-01
本篇将详细探讨C++如何操作PE文件,包括读取PE文件信息、解析导入表和导出表,并实现iat(Import Address Table)Hook。 首先,我们需要理解PE文件的基本结构。PE文件由头文件和节区组成。头文件包含了PE文件的类型...
PE文件分析
03-25
在上述的C++代码,我们看到了对PE文件结构的一些定义和处理函数。通过这些定义和函数,可以实现对PE文件的基本属性分析。接下来,我们将详细解读这段代码涉及的关键概念和功能。 ### PE文件结构解析 #### IMAGE_...
PE文件导入表解析(C++)
05-01
在Windows操作系统PE(Portable Executable)文件格式是用于存放可执行程序和动态链接库(DLL)的主要格式。本文将深入探讨如何使用C++语言解析PE文件的导入表,帮助开发者理解并实现相关功能。 首先,我们来看一下...
IAT 实验程序
03-29
IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序
PE文件格式(二)
周星星的博客
10-20 1925
EAT是一种核心机制,它使不同的应用程序可以调用库文件提供的函数。也就是说,只有通过EAT才能准确求得从相应库导出函数的起始地址。
暗光增强——IAT网络推理测试(详细图文教程)
最新发布
qq_40280673的博客
03-14 1507
AT模型由两个独立的分支组成,局部分支用于像素调整,并输出两个用于加法和乘法的特征图。全局分支用于全局调整并输出颜色矩阵和gamma值,全局分支受DETR启发,网络通过动态查询学习的方式更新颜色矩阵和gamma值。
WINDOWS+PE权威指南读书笔记(5)
沐一 · 林 的博客
10-02 330
PE的导入表 Windows 加载器在运行 PE 时会将导入表声明的动态链接库一并加载到进程的地址空间,并修正指令代码调用的函数地址。在数据目录一共有四种类型的数据与导入表数据有关。 这四种数据依次为: 口导入表 口导入函数地址表 口绑定导入表 口 延迟加载导入表 导入表的概念: Windows API 函数,这些代码存储在 DLL 文件,即动态链接库。在动态链接库里存放的不是函数的源代码,而是编译链接以后生成的字节码。 看下面的两个调用语句: invoke Mes
PE文件学习笔记(五):导入表、IAT、绑定导入表解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入表(Import Descriptor)结构解析:导入表是记录PE文件用到的动态连接库的集合,一个dll库在导入表占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入表即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
《逆向工程核心原理》第13章——PE文件格式(2):IAT与EAT
diamond_biu的博客
12-08 1366
PE文件格式(2):IAT与EATIATDLLIMAGE_IMPORT_DESCRIPTOR使用notepad.exe练习1 库名称(Name)2 OriginalFirstThunk-INT3 IMAGE_IMPORT_BY_NAME4 FirstThunk-IATEAT IAT IAT:导入地址表(Import Adress Table)。简而言之IAT是一种表格,用来记录程序正在使用哪些库的哪些函数。 DLL 16位DOS时代调用函数时,会从C库读取相应函数的二进制代码并将其插入应用程序。而Wi
手动查找 IAT 的方法!!!
xum2008的专栏
11-12 2996
 一个这样的壳: MoleBox 2.x.x -> Mole Studio 是用 汇编写的;  ***************************** 运用 ESP 定律 达到程序的 OEP (如果在这个过程,程序出现异常,就将它们添加进异常,继续运行程序,到达OPE,当看到 -jmp后,F7 进入就到了),正常脱壳后,发现程序无法运行。。修复时,有两个无效的指针。用
输入表IAT
m0_57929980的博客
10-24 599
输入表IAT
深入解析PE文件格式
详细介绍了PE文件的各个组成部分,并提供了源代码示例,帮助读者理解和操作PE文件。随书附带的PEFILE.DLL动态链接库及其源代码可供读者在自己的应用程序使用,以便更便捷地处理PE文件格式。" PE文件是Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值