13.PE文件之绑定导入表(IMAGE_BOUND_IMPORT_DESCRIPTOR)

已于 2023-10-08 20:34:28 修改
阅读量3.8k 收藏 3
点赞数
分类专栏: Pe文件解析 文章标签: C语言 C++ PE文件 安全 数据结构
于 2021-10-30 19:53:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/121055300
版权

绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率.

当PE文件被加载到内存时,加载器会先检查导入表,然后把需要加载的DLL载入到地址空间中.

加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT表的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding).

绑定导入表定位以及解析(手动FileBuffer)

测试文件Win7 x86下notepad.exe

IMAGE_BOUND_IMPORT_DESCRIPTOR

结构及成员含义如下:

typedef struct _IMAGE_BOUND_IMPORT_DESCRIPTOR {
    DWORD   TimeDateStamp;                    //时间戳
    WORD    OffsetModuleName;                 //DLL名的地址相当于第一个IMAGE_BOUND_IMPORT_DESCRIPTOR结构的偏移
    WORD    NumberOfModuleForwarderRefs;      //该结构后IMAGE_BOUND_FORWARDER_REF结构的数量
// Array of zero or more IMAGE_BOUND_FORWARDER_REF follows
} IMAGE_BOUND_IMPORT_DESCRIPTOR,  *PIMAGE_BOUND_IMPORT_DESCRIPTOR;

typedef struct _IMAGE_BOUND_FORWARDER_REF {
    DWORD   TimeDateStamp;               //时间戳
    WORD    OffsetModuleName;            //DLL名的地址相当于第一个IMAGE_BOUND_IMPORT_DESCRIPTOR结构的偏移
    WORD    Reserved;                    //保留
} IMAGE_BOUND_FORWARDER_REF, *PIMAGE_BOUND_FORWARDER_REF;

定位导入表:

IMAGE_OPTIONAL_HEADER -> DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(11)].VirtualAddress + ImageBase.(如果在文件中解析只需将RVA转换为FOA加上当前文件首地址即可定位导入表).

导出表导入表有详细定位介绍,此处省略...

VirtualAddress = 00000278h(在SizeOfHeaders内,RVA = FOA)(RVA与FOA转换讲解)

Size = 00000128h

绑定导入表数据如下:

绑定导入表在内存中是连续存储的,结束标记为8字节全0数据.

成员含义:

TimeDateStamp该成员为时间戳,该值必须与导入DLL的IMAGE_FILE_HEADER中的TimeDateStamp值相同绑定导入才会生效,否则就会重新计算IAT表中的函数地址.这种情况一般发生在DLL版本不同或者DLL被重定位.

可通过函数gmtime_s获取对应时间.

OffsetModuleName该成员为DLL名,计算方式为第一个IMAGE_BOUND_IMPORT_DESCRIPTOR的地址为基址 + OffsetModuleName为指向模块名字符串.

IMAGE_BOUND_IMPORT_DESCRIPTOR地址为:0x278

OffsetModuleName值为:0x0080

NumberOfModuleForwarderRefs该值为当前IMAGE_BOUND_IMPORT_DESCRIPTOR结构后存在的IMAGE_BOUND_FORWARDER_REF结构数组的元素个数.

第二个绑定导入结构中NumberOfModuleForwarderRefs值为1,可以直接理解为第二个绑定导入表后紧跟一个IMAGE_BOUND_FORWARDER_REF结构.

微软提供了一个绑定工具bind.exe程序,该程序可以把导入表中IAT表项IMAGE_THUNK_DATA32的内容都静态替换成虚拟内存地址,然后在数据目录表的第12项指定的位置声明这些更改.Windows在加载目标PE相关的动态链接库时,会首先检查这些地址是否正确,这些检查包括当前系统的DLL版本是否符合绑定导入结构中的版本号,如果不符合或者DLL需要被重新定位,加载器就会去遍历OriginalFirstThunk指向的数组(INT),计算新的地址.

代码定位绑定导入表并打印其数据

读取文件代码

PVOID FileToMem(IN PCHAR szFilePath, OUT LPDWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "rb");
	if (!pFile)
	{
		printf("FileToMem fopen Fail \r\n");
		return NULL;
	}
 
	//获取文件长度
	fseek(pFile, 0, SEEK_END);			//SEEK_END文件结尾
	DWORD Size = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);			//SEEK_SET文件开头
 
	//申请存储文件数据缓冲区
	PCHAR pFileBuffer = (PCHAR)malloc(Size);
	if (!pFileBuffer)
	{
		printf("FileToMem malloc Fail \r\n");
		fclose(pFile);
		return NULL;
	}
 
	//读取文件数据
	fread(pFileBuffer, Size, 1, pFile);
 
	//判断是否为可执行文件
	if (*(PSHORT)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("Error: MZ \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (*(PDWORD)(pFileBuffer + *(PDWORD)(pFileBuffer + 0x3C)) != IMAGE_NT_SIGNATURE)
	{
		printf("Error: PE \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}
 
	if (dwFileSize)
	{
		*dwFileSize = Size;
	}
 
	fclose(pFile);
 
	return pFileBuffer;
}

定位并输出绑定导入表数据

VOID PrintBoundImportInfo()
{
	//读取文件二进制数据
	DWORD dwFileSize = 0;
	PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);
	if (!pFileBuffer)
	{
		return;
	}

	//定位结构
	PIMAGE_DOS_HEADER        pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS        pNth = (PIMAGE_NT_HEADERS)(pFileBuffer + pDos->e_lfanew);
	PIMAGE_FILE_HEADER		 pFil = (PIMAGE_FILE_HEADER)((PUCHAR)pNth + 4);
	PIMAGE_OPTIONAL_HEADER32   pOpo = (PIMAGE_OPTIONAL_HEADER32)((PUCHAR)pFil + IMAGE_SIZEOF_FILE_HEADER);

	//判断该PE文件是否有重定位表
	if (!pOpo->DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress)
	{
		printf("该PE文件不存在导入表 \r\n");
		return;
	}
	PIMAGE_BOUND_IMPORT_DESCRIPTOR pBou = (PIMAGE_BOUND_IMPORT_DESCRIPTOR)(pFileBuffer + RvaToFoa(pFileBuffer, pOpo->DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress));

	//第一个绑定导入基址
	PUCHAR pBase = (PUCHAR)pBou;

	//循环遍历
	do
	{
		printf("TimeDateStamp -> [0x%08x] ", pBou->TimeDateStamp);
		printf("ModuleName -> [%s] \r\n", pBase + pBou->OffsetModuleName);

        //可以直接*(PULONGLONG)addr 判断不需要这么麻烦
        //方便理解结构
		if (pBou->NumberOfModuleForwarderRefs != 0)
		{
			PIMAGE_BOUND_FORWARDER_REF pRef = pBou + 1;
			for (size_t i = 0; i < pBou->NumberOfModuleForwarderRefs; i++)
			{
				printf("TimeDateStamp -> [0x%08x] ", pRef->TimeDateStamp);
				printf("ModuleName -> [%s] \r\n", pBase + pRef->OffsetModuleName);

				pRef++;
				pBou++;
			}
		}

	} while (*(PDWORD)(++pBou));

}

「已注销」
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bound2eight.rar_bound2eight_image processing_matlab图像处理_图像处理_图形处
07-14
在图像处理领域,"bound2eight.rar_bound2eight_image processing_matlab图像处理_图像处理_图形处理" 这个标题暗示了我们正在讨论一个与MATLAB相关的图像处理项目。MATLAB是一款强大的数值计算和可视化软件,它在...
beibao.rar_Knapsack machine _knapsack bound_knapsack branch_部分背包
09-23
"knapsack bound"指的是背包问题中的边界函数,它用于剪枝,减少搜索空间,提高算法效率。"knapsack branch"则可能指的是分枝策略,这是分枝限界法中的关键步骤,通过生成并探索问题的子树来寻找最优解。 分枝限界...
Dll注入--修改PE文件
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入 可以找到导入,而导入就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
滴水三期:day40.1-绑定导入
Edimade的博客
04-19 354
一、引入绑定导入 > 二、绑定导入(1.定位 > 2.绑定导入结构 > 3.作用)> 三、作业(1.打印绑定导入
PE文件结构—导入解析
最新发布
weixin_48257887的博客
05-09 210
【代码】PE文件结构—导入解析。
PE结构(四) 绑定导入
weixin_37673331的博客
02-29 482
1.关于绑定导入 一般情况下,在程序加载前IAT和INT中的内容相同,都是程序引用的dll中的函数的函数名或序号; 加载完成后IAT中将替换为函数的真正地址; 但在加载前IAT中直接写绝对地址是可以实现的; 加载前在IAT中保存绝对地址的优点:启动程序快; 在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT修复为地址等等; 如果直接用绝对地址,则省去了修复IAT的操作...
PE-导入
megaparsec
12-19 1933
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件格式学习(十四):绑定导入(BoundImportDirectory)
tutucoo
11-08 892
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导入的DLL...
PE文件绑定导入
fa1c4的blog
03-08 204
BOUND IMPORT TABLE 绑定导入是一种提高DLL加载速度的技术. 对于PE文件而言是可选项, 不是必须. 当修改PE文件时, 如果添加导入的DLL文件, 需要注意有没有绑定导入, 如果有需要删除或修改绑定导入, 否则会运行时出错. PEview查看绑定导入 Winhex查看相应位置 ...
fenzhixianjie.rar_1背包问题_Branch and bound_fenzhixianjie_knapsack
09-14
“Branch and Bound”(分支限界法)是一种用于解决最优化问题的有效方法,特别适用于0/1背包问题。该方法通过构建一棵搜索树,将所有可能的解决方案进行系统性的搜索。在搜索过程中,通过设定下界(bounding)来...
IntProgFZ.zip_Branch and bound_IntProgFZ_整数 规划_混合整数
07-15
"Branch and Bound"(分支定界法)是解决整数规划和混合整数规划问题的一种高效算法。该方法通过将问题的搜索空间逐步分解为一系列子问题,并对每个子问题进行边界分析,来排除那些不可能产生最优解的分支,从而减少...
TSP.rar_branch and bound tsp_delphi tsp_salesman delphi_tsp_tsp
09-24
在本项目中,开发者使用了Delphi编程语言来实现TSP的一种解决策略——分支限界法(Branch and Bound)。Delphi是一种基于Object Pascal的高效能、面向对象的开发工具,它的编译器和集成开发环境(IDE)使得创建桌面...
IMAGE_IMPORT_DESCRIPTOR结构
Ghjhfssfgk的博客
01-28 970
IMAGE_IMPORT_DESCRIPTOR结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { DWORD OriginalFirstThunk; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThunk; } IMAGE_IMPORT...
PE格式详细讲解7 - 系统篇07|解密系列
weixin_33709364的博客
05-26 191
PE格式详细讲解7-系统篇07 让编程改变世界 Change the world by program 捷径并不是把弯路改直了,而是帮你把岔道堵上! 走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇! 岔路会将你引入万劫不复的深渊,并越走越深…… 在开始讲解输入导入)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前...
Windows下动态链接之一:DLL插件机制的装载和使用
墨篙和小奶猫
10-18 5516
目录: Windows和Linux下动态链接的原则不同 映像基地址 RVA DLL文件的符号导出声明 PE文件头下的DataDirectory DLL文件的符号导出 PE文件的符号导入 DLL显式运行时加载链接demo 1. Windows和Linux下动态链接的原则不同Linux系统以.so共享对象设计共享库,并在设计共享对象的过程,花费很多精力实现.so对象的代码段.text多进程共享,提升
PE格式详解(九)
LewisCheng的专栏
08-31 1411
          好了,如果你确实按进程看到了这里,那么我首先要钦佩你的毅力,感谢你的支持,同时也恭喜你已经对PE格式有了比较全面的了解。回想起来,其实PE格式的理解并不很困难,只是比较复杂,也容易搞混结构关系,所以我写了这第九篇,把PE格式的总体结构按研究的顺序给出,让这个轮廓清晰地出现在脑中。         好,如果我们拿到一个EXE,想要去分析它的格式,我们可以按下面的步骤进行:
IAT详解
cay22的专栏
02-05 7845
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
输入IAT
m0_57929980的博客
10-24 589
输入IAT
windows PE IMAGE_DIRECTORY_ENTRY_IMPORT
06-04
`IMAGE_DIRECTORY_ENTRY_IMPORT`是Windows可执行文件PE格式中的一个数据目录项,用于存储导入(import table)信息。导入指定了可执行文件所依赖的动态链接库(DLL)及其导出函数的名称。这些信息在程序运行时被加载到内存中。 `IMAGE_DIRECTORY_ENTRY_IMPORT`目录项的结构体定义如下: ``` typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA) } DUMMYUNIONNAME; DWORD TimeDateStamp; // 0 if not bound, // -1 if bound, and real date\time stamp in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND) // O.W. date/time stamp of DLL bound to (Old BIND) DWORD ForwarderChain; // -1 if no forwarders DWORD Name; DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses) } IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR; ``` 其中,`OriginalFirstThunk`指向一个`IMAGE_THUNK_DATA`数组,该数组中存储了导入函数的名称和序号。当程序被加载到内存中时,该数组中的名称和序号将被替换为实际的函数地址。`FirstThunk`则是导入地址(IAT)的地址,该中存储了实际的函数地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值