PE文件格式详解(五-2)――Improt Table(引入表)

最新推荐文章于 2023-09-05 11:03:08 发布
最新推荐文章于 2023-09-05 11:03:08 发布
阅读量1.7k 收藏
点赞数
分类专栏: 开发技术-C/C++ 【创作类型:转载】 文章标签: table image descriptor import function dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwglucky/article/details/5375749
版权

现在我们知道如何找到引入表了。Data Directory数组第二项的VirtualAddress包含引入表地址。引入表实际上是一个 IMAGE_IMPORT_DESCRIPTOR 结构数组。每个结构包含PE文件引入函数的一个相关DLL的信息。比如,如果该PE文件从10个不同的DLL中引入函数,那么这个数组就有10个成员。该数组以一个全0的成员结尾。下面详细研究结构组成:

IMAGE_IMPORT_DESCRIPTOR STRUCT
union
    Characteristics dd ?
    OriginalFirstThunk dd ?
ends
TimeDateStamp dd ?
ForwarderChain dd ?
Name1 dd ?
FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDS

    结构第一项是一个union子结构。事实上,这个union子结构只是给 OriginalFirstThunk 增添了个别名,您也可以称其为"Characteristics"。 该成员项是指向一个指向一个DWORD 数组的RVA。数组里的每一个DWORD 事实上是一个IMAGE_THUNK_DATA union。那么,什么 IMAGE_THUNK_DATA又是什么呢? 每个IMAGE_THUNK_DATA union对应于一个输入函数,这个DWORD(即IMAGE_THUNK_DATA union)的内容视文件被加载与否(即:加载前后内容不同,原因后面会解释),以及函数被以名称输入或以序号输入而定(即:输入方式不同,内容不同)。以名称输入是比较共同的方式。当一个函数以序号输入,EXE 文件的IMAGE_THUNK_DATA DWORD 中的最高位(0x80000000)设立。例如,考虑一个IMAGE_THUNK_DATA,其值为0x80000112,放在GDI32.DLL 数组中。表示这IMAGE_THUNK_DATA 将输入GDI32.DLL 中的第112号输出(exported)函数。如果函数以名称输入,IMAGE_THUNK_DATA DWORD 就内含一个RVA(Relative Virtual Address),指向IMAGE_IMPORT_BY_NAME 结构,由于一个输入函数对应一个IMAGE_THUNK_DATA union,而当函数以名称输入的时候IMAGE_THUNK_DATA又指向一个IMAGE_IMPORT_BY_NAME 结构,所以此时一个输入函数对应一个IMAGE_IMPORT_BY_NAME 结构。现在让我们看看IMAGE_IMPORT_BY_NAME 结构里面有些什么东东,我们希望里面存有一个引入函数的相关信息。奥,原来它真的如我们所愿:

IMAGE_IMPORT_BY_NAME STRUCT
Hint dw ?
Name1 db ?
IMAGE_IMPORT_BY_NAME ENDS

    Hint 指示本函数在其所驻留DLL的引出表中的索引号。该域被PE装载器用来在DLL的引出表里快速查询函数。
Name1 含有引入函数的函数名。函数名是一个ASCIIZ字符串。现在请看这里: 假设程序中调用了N个输入函数,那么就对应着有N个 IMAGE_IMPORT_BY_NAME 结构,我们收集起这些结构的RVA 放在IMAGE_THUNK_DATA结构中组成一个数组,并以0结尾,然后再将此数组的RVA放入 OriginalFirstThunk。 这样一来我们就可以利用OriginalFirstThunk这条线把从某一个DLL中调用的函数全部給揪出来。

    奥,刚才我们被IMAGE_IMPORT_BY_NAME 结构给中断了一下,现在让我们返回IMAGE_IMPORT_DESCRIPTOR结构,继续看里面的其他域。为了和上面的讨论保持连贯性先让我们来看一下最后一个域FirstThunk,FirstThunk 与 OriginalFirstThunk 非常相似,也是一个RVA,它也是指向一个 IMAGE_THUNK_DATA 结构数组(当然这是另外一个IMAGE_THUNK_DATA 结构数组,不过这个IMAGE_THUNK_DATA结构数组和OriginalFirstThunk指向的IMAGE_THUNK_DATA结构数组内容是完全一样的)。好的让我们理顺一下:现在有几个 IMAGE_IMPORT_BY_NAME 结构,同时您又创建了两个结构数组,并同样存入指向那些 IMAGE_IMPORT_BY_NAME 结构的RVA,这样两个数组就包含相同数值了(可谓相当精确的复制啊)。最后您决定将第一个数组的RVA赋给 OriginalFirstThunk,第二个数组的RVA赋给 FirstThunk,这样一切都很清楚了。如果你对上面一堆的RVA和结构数组的关系感到头晕的话那么请往下看,或许下面这个图解能让你清醒一些:

OriginalFirstThunk

IMAGE_IMPORT_BY_NAME

FirstThunk

|

|

IMAGE_THUNK_DATA

IMAGE_THUNK_DATA

IMAGE_THUNK_DATA

IMAGE_THUNK_DATA

...

IMAGE_THUNK_DATA

--->

--->

--->

--->

--->

--->

Function 1

Function 2

Function 3

Function 4

...

Function n

<---

<---

<---

<---

<---

<---

IMAGE_THUNK_DATA

IMAGE_THUNK_DATA

IMAGE_THUNK_DATA

IMAGE_THUNK_DATA

...

IMAGE_THUNK_DATA

    现在您应该明白我的意思。不要被IMAGE_THUNK_DATA这个名字弄糊涂: 当以名字引入函数时,它仅是指向 IMAGE_IMPORT_BY_NAME 结构的RVA。 如果将 IMAGE_THUNK_DATA 字眼想象成RVA,就更容易明白了。OriginalFirstThunk 和 FirstThunk 所指向的这两个数组大小取决于PE文件从DLL中引入函数的数目。比如,如果PE文件从kernel32.dll中引入10个函数,那么IMAGE_IMPORT_DESCRIPTOR 结构的 Name1域包含指向字符串"kernel32.dll"的RVA,同时每个IMAGE_THUNK_DATA 数组有10个元素。

lwglucky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PeViewer - PE格式文件查看器 - 中文版
11-20
PE文件格式是微软为Windows操作系统设计的可执行文件格式,包括.exe和.dll文件。PE文件由多个节区组成,如.text(代码段)、.data(初始化数据段)、.rsrc(资源段)和新陈代谢.eh(异常处理信息)。每个节区都有...
pe文件的Import table导入的手工修复
xiao_ZHEDA的博客
08-16 284
pe文件的导入和对应位置的IAT,INT进行修复
2.5 PE结构:导入详细解析
最新发布
CSDN
09-05 1万+
导入Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE文件分析之导入与导出及重定位
qq_41814777的博客
10-14 1765
导入地址Import Address Table, IAT) 导入函数: 导入函数是指,在PE程序运行时会调用的,且代码又不在程序中的函数,一般位于DLL文件中。在调用者程序即PE程序中,只保留导入函数的DLL名称、函数名称等信息。 DLL的装载方式: 采用 隐式链接方式,程序员在建立一个DLL文件时,链接程序会自动生成一个与之对应的LIB导入文件。该文件包含了每一个DLL导出函数的符号名和...
windows PE Image 文件分析(3)--- .idata 节与 import table
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 2431
现在我们来探讨一下 .idata 节与 import table 下面是 helloworld.exe 映像中使用了 import table : 域 import table VirtualAddress 0x00018000 size 0x50 下面是 helloworld.exe 映像中的
PE文件解析--导入函数节.rdata
凌阳的博客
06-08 2533
导入函数节,就必须介绍一下Datadirectory:Datadirectory放在可选文件头optional_header里面,有16个项,每项8字节,里面存放的是每个导入函数节,导出函数节等节的信息。可选文件头optional_header: 例如:14 20 00 00 3c 00 00 00前4位:代该节的RVA,14 20 00 00RVA=0002014后4位:代该节的大小,0x0000003c=60下面按rdata中存放的顺序介绍,注意此中的地址是文件地址:其RVA(内存)=0x000
PE文件格式详解视频-002.2rar
11-15
PE文件格式详解视频 一共有十个 好不容易才从迅雷上下载的 我将会陆续上传到 CSDN 此为第二个视频 共分为四部分
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
**Windows PE文件格式详解** Windows PE(Portable Executable文件格式是Microsoft Windows操作系统中的可执行文件格式,用于存储编译后的程序代码、数据和元数据。PE文件是Windows平台的核心组成部分,包括.exe...
PE文件格式详解
09-26
PE文件格式详解 超详细 图文并貌
iczelion pe tutcn6
jimgreen的专栏
08-29 777
 PE教程6: Import Table引入)本课我们将学习引入。先警告一下,对于不熟悉引入的读者来说,这是一堂又长又难的课,所以需要多读几遍,最好再打开调试器来好好分析相关结构。各位,努力啊!下载范例。理论:首先,您得了解什么是引入函数。一个引入函数是被某模块调用的但又不在调用者模块中的函数,因而命名为"import引入)"。引入函数实际位于一个或者更多的DLL里。
Oracle prompt、set feedback、set define 详解
m0_37253968的博客
09-17 3910
文章目录 1 结论2 演示3 详解3.1 prompt3.2 set feedback3.3 set define 1 结论 prompt : 提示信息,prompt 后面的内容原样输出 set feedback:反馈信息,每执行一条 sql 命令,Oracle 都会给一条反馈信息,如: (1) 创建成功时,Oracle 会反馈 Table created (2) 插入一条数据时,Oracle 会反馈 1 row inserted ..
imp命令导入指定_使用exp和imp导入导出指定
weixin_39838231的博客
12-20 701
从源数据库导出:这种方式,包含创建,插入数据,所以,目标应没有这个exp user1/pwd@server1 file=c:\temp\exp.dmp tables=(table1, table2)例如:exp platadmin/plat_8admin@hkserver32 file=d:\hkdata.dmp tables=(REPORT_DRIVERATTENDANCE_day,REPO...
PE文件格式详解)――Improt Table(引入)
lwglucky的专栏
03-13 1102
这节即将学习的Import Table和下节的Export Table关系密切,两者联合起来就可以解决我们开始提出的问题。在说明Import Table和Export Table的作用之前先让我们明白编译器是如何处理我们调用外部库函数的。在PE 文件中,当你调用另一模块中的函数(例如USER32.DLL 中的GetMessage),编译器制造出来的CALL 指令并不会把控制权直接传给DLL 中的函
PE文件格式分析
shitdbg的博客
11-09 8308
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORTIMAGE_DIRECTORY_ENTRY_BOUND_IMPORTIMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE文件-引入[IMPORT TABLE]--转自iczelion,附vc示范
jiangtongcn的专栏
07-16 2825
首先,您得了解什么是引入函数。一个引入函数是被某模块调用的但又不在调用者模块中的函数,因而命名为"import引入)"。引入函数实际位于一个或者更多的DLL里。调用者模块里只保留一些函数信息,包括函数名及其驻留的DLL名。现在,我们怎样才能找到PE文件中保存的信息呢? 转到 d
IMP只导入数据
weeknd的博客
07-18 1万+
imp mycim/mycim file=njdq20170705.dmp indexes=n grants=n constraints=n statistics=none fromuser=mycim touser=mycim ignore=y
Google Earth的KML文件格式详解
"KML文件格式详细介绍" KML(Keyhole Markup Language)是一种基于XML的文件格式,专门用于描述和存储地理数据,如点、线、多边形以及与地理位置相关的图像。它由Google开发,主要用于在Google Earth客户端中展示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值