输入表IAT

已于 2022-10-24 00:23:51 修改
阅读量570 收藏 2
点赞数
分类专栏: 汇编语言 文章标签: 1024程序员节
于 2022-10-24 00:21:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57929980/article/details/127483829
版权

文章目录

为什么不能使用绝对地址调用函数?

  • 操作系统的版本不同
  • kernel32.dll的版本不同
  • DLL重定向(ImageBase在不同程序内存空间是不一样的)

输入表IAT

Import Address Table(IAT)
IAT中的内容与Windows操作系统的核心进程、内存、DLL结构等有关,理解了IAT,就掌握了Windows操作系统的根基

IAT是一种表格结构,标记程序需要使用哪些库中的哪些函数

IMAGE_IMPORT_DESCRIPTOR

该结构体记录PE文件要导入哪些库文件。PE程序往往需要导入多个库,导入多少个库就存在多少个IMAGE_IMPORT_DESCRIPTOR结构体,多个结构体组成数组,以NULL结构体结束。
在这里插入图片描述

  1. OriginalFirstThunk(DWORD),INT的地址(RVA)
  2. Name(DWORD),库文件名字符串的地址(RVA)
  3. FirstThunk(DWORD),IAT的地址(RVA)

INT与IAT是DWORD数组,以NULL结束。INT与IAT的各元素指向相同地址。
IAT(Import Address Table)、INT(import Name Table)
在这里插入图片描述
在这里插入图片描述

PE装载器

  1. 读取IID的name成员,获取库名称字符串,例如“kernel32.dll”。
  2. 装载相应的库,类似LoadLibrary(“kernel32.dll”)。
  3. 读取IID的OriginalFirstThunk成员,获取INT地址
  4. 读取INT,逐一获得IMAGE_IMPORT_BY_NAME的地址(RVA)。
  5. 使用IMAGE_IMPORT_BY_NAME的Hint或者Name项,获得函数的起始地址。类似GetProcAddress(“ExitProcess”)
  6. 读取IID的FirstThunk成员,获得IAT地址
  7. 将第5步获得的函数地址写入IAT数组相应位置
  8. 重复步骤4到7,指导INT结束
    在这里插入图片描述
NKU-Jan
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IAT 实验程序
03-29
IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序
iat输入hook的源码
最新发布
09-14
iat输入hook的源码
输入地址IAT
weixin_33831673的博客
10-02 101
输入地址IAT) 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3846789.html
输入IAT以及输出
weixin_34416649的博客
06-20 389
输入IAT与输出 ImportTable : 00002010 RVA to FOA 所以输入在文件中的地址为 2010 - 2000 + 600 = 610 ImportAddressTable(IAT): 00002000 IAT在文件中的地址为: 2000 - 2000 ...
PE结构(三)INT IAT
weixin_37673331的博客
02-29 2288
感谢滴水海哥!
IAT输入重建.工具
01-13
IATRebulid 使用说明 一、IATRebulid V1.01主要功能: 1. 对PE文件的引入进行手工重建功能 2. 往PE文件中追加引入函数 3. 导出PE文件的引入 4. 对PE文件增加新节 5. RVA 地址转换 6. 更改PE文件头的相关数据
IAT输入重建工具[无毒]IATRebulid.exe
01-15
国产的PE修复工具,IATRebulid 网上搜的有些是带病毒的,这个版本的比较安全,是1.0.0.1
易语言DLL注入修改输入模块
08-17
DLL注入修改输入模块源码,IAT注入,文本到字节,读取输入,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS_1,RtlMoveMemory_IMAGE_NT_HEADERS_2,RtlMoveMemory_IMAGE_IMPORT_DESCRIPTOR_1, 系统...
手动修复输入时的发现---对于IID输入IATINT对应关系及程序载入DLL
weixin_30294295的博客
03-11 134
IMAGE_IMPORT_DESCRIPTOR struct union { DWORD OriginalFirstThunk; 4Byte }; TimeDateStamp DWORD ;04h 4Byte ForwarderChain ...
IAT
BiCai2的博客
09-29 449
ypedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to
[PE结构分析] 8.输入结构和输入地址IAT
weixin_34167043的博客
08-16 448
在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。每个被链接进来的 DLL文件都分别对应一个 IMAGE_IMPORT_DESCRIPTOR (简称IID) 数组结构。 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { D...
我的学习笔记之二——修改导入HOOK API(ring3_iat_exe_hook_Messagebox)
weixin_30408165的博客
12-23 97
IAT即Import Address Table 是PE(可以理解为EXE)的输入地址,我们知道一个程序运行时可以要调用多个模块,或都说要调用许多API函数,但这些函数不一定都在EXE本身中,例如你调用Messagebox来显示一个对话框时,你只需要调用它,你并没有编写Messagebox的函数的实现过程,Messagebox的函数的实现过程实际上是在user32.dll这个库文件中,当这个程序...
C/C++ 导入IAT内存修正
CSDN
09-17 7257
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入的脱壳修复等。关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点让其暂停在OEP位置,此时程序已经在内存解码,同时也可以获取到程序的OEP位置,转储就是将程序原封不动的读取出来并放入临时空间中,然后对空间中的节和OEP以及内存对齐进行修正,最后将此文件在内存保存出来即可。
PE格式系列_0x03:输入原理+IAT填充流程
可乐松子的博客
05-30 409
1.输入的原理、2.PE装载器填充IAT的完整过程、3.IATINT关系
什么是 IAT(一)
北冥有鱼的Blog
03-13 9905
转自:信安之路IAT 三连之什么是 IAT?原创 2018-02-26 x-encounter 信安之路IAT 的全称是 ImportAddress Table。在可执行文件中使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入来完成的。导入...
PE文件中的IAT和IET
learn112的博客
12-29 1010
PE文件中的IAT和IET IAT IAT中文名叫导入地址IAT中存放的是导入的函数的RVA数组,每个元素对应一个函数的地址(RVA) 通过这个RVA即可找到导入函数的位置 所以说我们必须先知道IAT在哪 1.找到可选头结构体的最后一个成员 可选头结构体的最后一个成员是DataDirectory 它是一个结构体数组 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; BYTE M
IAT 三连之什么是 IAT
hl1293348082的专栏
03-27 520
IAT 的全称是 ImportAddress Table。在可执行文件中使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入来完成的。 导入中存放了程序所有使用的 DLL 模块名称及导入的函数名称或函数序号。 本文所用文件及源代码下载地址: https://pan.baidu.com/s/1o9360AI 学习 IAT 有什么用? 在脱
IAT入门简析【滴水逆向三期52笔记】
WdIg-2023的博客
04-01 444
如果我们讲函数写在程序的源文件中,那么该函数就会被编译器直接编译到程序的二进制文件中,在程序调用该函数的时候,E8后跟的地址是直接写死的,程序直接在exe文件中找到函数,也被称为直接寻址,因为程序可以直接从自生的二进制文件中找到函数。我们知道,exe在运行的时候,会有自己独立的4GB空间,exe贴到4GB空间的时候,基本上都能按照exe文件预定的位置贴上去,但是dll文件就不一样,它每次贴的位置可能都不一样,所以MessageBox函数的地址也不一样,那程序如何调用MessageBox函数呢?
编写一个程序,展示PE文件的各个结构体相关的数据;输入输出、区块等结构体;
05-30
以下是一个展示PE文件各个结构体相关数据的C++程序示例,使用...这个程序使用PE Bliss库读取PE文件,并展示了PE文件的DOS头、NT头、区块、输入、输出等结构体相关的数据。注意:在运行程序前需要先安装PE Bliss库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值