12.PE文件之导入表(IMAGE_IMPORT_DESCRIPTOR)

已于 2023-10-08 20:34:18 修改
阅读量5.3k 收藏 20
点赞数 4
分类专栏: Pe文件解析 文章标签: 数据结构 C语言 C++ PE文件 安全
于 2021-10-30 18:20:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/121052818
版权

目录

导入表定位以及解析(手动FileBuffer)

导入表定位以及解析(手动ImageBuffer)

代码定位导入表并打印其数据

导入表是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入表数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息.

Windows加载器在运行PE时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址.

在数据目录项中一共有四种类型的数据与导入表有关(导入表、导入函数地址表、绑定导入表、延迟加载导入表).

导入数据所在的节通常被命名为.idata,它包含了PE映像中所有导入的符号.导入信息在EXE和DLL中几乎都存在.

导入表定位以及解析(手动FileBuffer)

IMAGE_IMPORT_DESCRIPTOR

结构及成员含义如下:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;
        DWORD   OriginalFirstThunk;             //导入名称表(INT)的地址RVA
    } DUMMYUNIONNAME;
    DWORD   TimeDateStamp;                      //时间戳多数情况可忽略.如果是0xFFFFFFFF为绑定导入
    DWORD   ForwarderChain;                     //链表的前一个结构
    DWORD   Name;                               //导入DLL文件名的地址RVA
    DWORD   FirstThunk;                         //导入地址表(IAT)的地址RVA
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

//成员OriginalFirstThunk与FirstThunk都指向此结构:
typedef struct _IMAGE_THUNK_DATA32 {
    union {
        DWORD ForwarderString;      // PBYTE
        DWORD Function;             // PDWORD
        DWORD Ordinal;              // 序号
        DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

//如果结构IMAGE_THUNK_DATA32成员最高有效位(MSB)为1时低31位为导出序号.否则指向此结构.
typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;   //导出序号(有些编译器不会填充此值)
    CHAR   Name[1]; //该值长度不准确,以0结尾的字符串.导出函数名.
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

定位导入表:

IMAGE_OPTIONAL_HEADER -> DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT(1)].VirtualAddress + ImageBase.(如果在文件中解析只需将RVA转换为FOA加上当前文件首地址即可定位导入表).

通过WinHex工具查看PE文件默认属性

上述解析得知:

内存对齐 = 1000h

文件对齐 = 1000h

导出表RVA = 0x00022A10(对齐相同FOA为0x00022A10h)(RVA与FOA转换讲解)

前两个导入表解析如下:

成员含义:

Name该成员为DLL名指针,指向以"\0"结尾的ANIS字符串(RVA).

第一个导入表指向00022FFCh.对应字符串数据为: MFC42.DLL

第二个导入表指向00023096h.对应字符串数据为: MSVCRT.dll

OriginalFirstThunk该成员为导入名称表(INT import name table)RVA,指向IMAGE_THUNK_DATA结构体数组,通过结构体成员是否为0来判断结束标记.该成员解析存在两种状态,当最高有效位为1时低31位为函数导出序号,否则为RVA指向结构体IMAGE_IMPORT_BY_NAME.

第一个导入表指向00022AC8h.对应数据为:

指向数据MSB均为1(低31位为导出函数序号)

第二个导入表指向00022F28h.对应数据为:

指向数据MSB均为0(该值为RVA指向IMAGE_IMPORT_BY_NAME结构体)

FirstThunk该成员为导入地址表(IAT import address table)RVA,在程序运行前同OriginalFirstThunk结构一样通过判断MSB来决定存储内容.程序运行时,还是指向IMAGE_THUNK_DATA结构体数组,但是内容为对应函数地址.

第一个导入表指向0001D040h.对应数据为:

文件运行前同INT表指向数据一样

 第二个导入表指向0001D4A0h.对应数据为:

文件运行前同INT表指向数据一样

通过文件解析可以获得如下数据:

第一个导入表:

第二个导入表:

导入表定位以及解析(手动ImageBuffer)

运行程序,通过WinHex解析内存中对应INT 和 IAT数据

文件ImageBase为400000h,只需将之前解析值(RVA)+ImageBase即可.

第一个导入表:

OriginalFirstThunk

第一个导入表指向00022AC8h + ImageBase(400000h).对应数据为:

与文件中数据一致,并未发生任何改变.

FirstThunk

第一个导入表指向0001D040h+ ImageBase(400000h).对应数据为:

通过OD / DBG 查看对应数据

运行时IAT表中存储的值61E3FFF0h为内存中真正函数地址

MFC42.DLL模块

通过内存解析可以获得如下数据:

如果要实现内存加载,无模块等都需要用到导入表.解析导入表获得导入模块,通过函数名或者序号去对应模块导出表中查找对应函数地址并填充IAT表.

导出表详解(可自行实现API GetProcAddress)

代码定位导入表并打印其数据

读取文件代码

PVOID FileToMem(IN PCHAR szFilePath, OUT LPDWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "rb");
	if (!pFile)
	{
		printf("FileToMem fopen Fail \r\n");
		return NULL;
	}
 
	//获取文件长度
	fseek(pFile, 0, SEEK_END);			//SEEK_END文件结尾
	DWORD Size = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);			//SEEK_SET文件开头
 
	//申请存储文件数据缓冲区
	PCHAR pFileBuffer = (PCHAR)malloc(Size);
	if (!pFileBuffer)
	{
		printf("FileToMem malloc Fail \r\n");
		fclose(pFile);
		return NULL;
	}
 
	//读取文件数据
	fread(pFileBuffer, Size, 1, pFile);
 
	//判断是否为可执行文件
	if (*(PSHORT)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("Error: MZ \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (*(PDWORD)(pFileBuffer + *(PDWORD)(pFileBuffer + 0x3C)) != IMAGE_NT_SIGNATURE)
	{
		printf("Error: PE \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (dwFileSize)
	{
		*dwFileSize = Size;
	}
 
	fclose(pFile);
 
	return pFileBuffer;
}

输出文件代码

VOID MemToFile(IN PCHAR szFilePath, IN PVOID pFileBuffer, IN DWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "wb");
	if (!pFile)
	{
		printf("MemToFile fopen Fail \r\n");
		return;
	}
 
	//输出文件
	fwrite(pFileBuffer, dwFileSize, 1, pFile);
 
	fclose(pFile);
}

定位并输出导入表数据

VOID PrintImportInfo()
{
	//读取文件二进制数据
	DWORD dwFileSize = 0;
	PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);
	if (!pFileBuffer)
	{
		return;
	}

	//定位结构
	PIMAGE_DOS_HEADER        pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS        pNth = (PIMAGE_NT_HEADERS)(pFileBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER		 pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER32   pOpo = (PIMAGE_OPTIONAL_HEADER32)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);

	//判断该PE文件是否有重定位表
	if (!pOpo->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress)
	{
		printf("该PE文件不存在导入表 \r\n");
		return;
	}
	PIMAGE_IMPORT_DESCRIPTOR pImp = (PIMAGE_IMPORT_DESCRIPTOR)(pFileBuffer + RvaToFoa(pFileBuffer, pOpo->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress));

	//循环遍历
	while (pImp->OriginalFirstThunk && pImp->FirstThunk)
	{
		printf("-----------------------------------------------------------\r\n");
		PUCHAR pDllName = pFileBuffer + RvaToFoa(pFileBuffer, pImp->Name);
		printf("ModuleName -> [%s] \r\n", pDllName);

		
		//遍历INT
		printf("*****************INT*****************\r\n");
		PIMAGE_THUNK_DATA pInt = (PIMAGE_THUNK_DATA)(pFileBuffer + RvaToFoa(pFileBuffer, pImp->OriginalFirstThunk));
		do
		{
			//判断最高位
			if (*(PDWORD)pInt & IMAGE_ORDINAL_FLAG32)//IMAGE_ORDINAL_FLAG32 0x80000000
			{
				printf("ExportByOriginal -> [0x%08x] \r\n", *(PDWORD)pInt & 0x7FFFFFFF);
			}
			else
			{
				PIMAGE_IMPORT_BY_NAME pTemp = (PIMAGE_IMPORT_BY_NAME)(pFileBuffer + RvaToFoa(pFileBuffer, *(PDWORD)pInt));
				printf("ExportByName -> HINT[0x%04x] NAME[%s] \r\n", pTemp->Hint, pTemp->Name);
			}

		} while (*(PDWORD)(++pInt));


		//遍历IAT
		printf("*****************IAT*****************\r\n");
		PIMAGE_THUNK_DATA pIat = (PIMAGE_THUNK_DATA)(pFileBuffer + RvaToFoa(pFileBuffer, pImp->FirstThunk));

		//判断是否为绑定导入
		if (pImp->TimeDateStamp == 0)
		{
			do
			{
				//判断最高位
				if (*(PDWORD)pIat & IMAGE_ORDINAL_FLAG32)//IMAGE_ORDINAL_FLAG32 0x80000000
				{
					printf("ExportByOriginal -> [0x%08x] \r\n", *(PDWORD)pIat & 0x7FFFFFFF);
				}
				else
				{
					PIMAGE_IMPORT_BY_NAME pTemp = (PIMAGE_IMPORT_BY_NAME)(pFileBuffer + RvaToFoa(pFileBuffer, *(PDWORD)pIat));
					printf("ExportByName -> HINT[0x%04x] NAME[%s] \r\n", pTemp->Hint, pTemp->Name);
				}

			} while (*(PDWORD)(++pIat));
		}
		else
		{
			do
			{
				printf("FunAddr -> [0x%08x] \r\n", *(PDWORD)pIat);

			} while (*(PDWORD)(++pIat));
			
		}

		//指向下一个导入表结构
		pImp++;
	}

}
「已注销」
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE导入解析和注入
windows小菜鸡的博客
08-19 633
1、导入 导入是在可选PE头得数据目录项得第二项 其结构如下 其中name是一个RVA,是DLL的名字 OriginalFirstThunk指向INT,为 IMAGE_THUNK_DATA32的结构。这个结构的值中如果最高位为1 ,那么除去最高位的值函数的导出序号,否则为指向IMAGE_IMPORT_BY_NAME的RVA 其结构如下 其中Hint值无关紧要。 ** FirstThunk** 指向的是IAT,其内容结构与OriginalFirstThunk指向的INT一模一样 2、程序启动
PE结构】5.导入
SMOne
06-25 1914
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
PE文件导入,动态链接库中的函数应该如何导入
yjh_fnu_ltn的博客
04-24 1104
(第一个位置的函数已经被导入),结合内存中的值可以说是一模一样,后面的函数一次再INT中取值,找到对应的函数名,通过GetProcAddress方法拿到对应函数的地址,再将其填入IAT,一致循环知道INT被拿完,则所需的kernel.dll动态链接库中的全部函数均导入完毕。另外,再代码中我们可以看到,调用动态链接库导入的函数,都是以取一个地址后,call该地址处的值来进行调用,而不是直接call函数的地址,为什么要进行一次。的起始地址,后续共kermel.dll需要导入的23个函数全部导入到内存中。
PE文件结构—导入解析
最新发布
weixin_48257887的博客
05-09 197
【代码】PE文件结构—导入解析。
C语言遍历导入导出
VI___
07-06 2082
通过C语言遍历PE文件导入和导出
PE结构-导入
小喇叭儿滴滴的吹
02-13 411
首先就是确定如何定位导入的位置,导入是位于数据目录项的第二项 前四个字节为相对虚拟地址(RVA),后四个字节为大小(这里做个参考,不依赖) 好了,既然是RVA,那么说的就是内存中情况,那么如何在文件中定位到导入位置呢,这里我们则需要做的就是将RVA转换为FA,这里的话就大致来说明一下,不清楚的可以参考下其他博客 先来看一下节区的分布情况,有2个节,分别在0x1000处和0x2000...
PE文件结构 - 导入结构
逐天实验室 ( SCLB )
09-14 1073
PE文件导入结构,CALL调用原理
LR.rar_feature descriptor_hog_image processing_townfsv
09-24
Image Processing, local binary patterns, hog feature descriptor, matlab code
sift.zip_SIFT descriptor_sift_sift matlab image
07-13
sift descriptor for recognition image
crime.zip_feature descriptor_hog_image processing_spiderl54
07-14
Image Processing, matlab, Local binary patterns, hog feature descriptor
PE文件导入解析(C++)
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
PE文件导入
03-29
打印PE文件导入信息 vs2005编译通过;
输入注入
12-28
输入注入
LCPD.zip_LCPD_descriptor_image processing_liveness detection_pha
09-24
Local Contrast Phase Descriptor (LCPD) source code.
gistdescriptor.zip_SIFT descriptor_gistdescriptor_sift matlab im
07-14
Sift Descriptor for image recognitio
病毒实验四
weixin_34402090的博客
03-07 252
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
PE结构学习(5)_导入与导出
xf555er的博客
08-07 992
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出里面任何PE文件还会调用哪些PE文件都会记录在导入里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入。...
windows PE IMAGE_DIRECTORY_ENTRY_IMPORT
06-04
`IMAGE_DIRECTORY_ENTRY_IMPORT`是Windows可执行文件PE格式中的一个数据目录项,用于存储导入(import table)信息。导入指定了可执行文件所依赖的动态链接库(DLL)及其导出函数的名称。这些信息在程序运行时被加载到内存中。 `IMAGE_DIRECTORY_ENTRY_IMPORT`目录项的结构体定义如下: ``` typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA) } DUMMYUNIONNAME; DWORD TimeDateStamp; // 0 if not bound, // -1 if bound, and real date\time stamp in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND) // O.W. date/time stamp of DLL bound to (Old BIND) DWORD ForwarderChain; // -1 if no forwarders DWORD Name; DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses) } IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR; ``` 其中,`OriginalFirstThunk`指向一个`IMAGE_THUNK_DATA`数组,该数组中存储了导入函数的名称和序号。当程序被加载到内存中时,该数组中的名称和序号将被替换为实际的函数地址。`FirstThunk`则是导入地址(IAT)的地址,该中存储了实际的函数地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值