PE文件(1)导入表

最新推荐文章于 2024-04-24 20:27:41 发布
最新推荐文章于 2024-04-24 20:27:41 发布
阅读量724 收藏
点赞数
分类专栏: 安全程序猿的自我修养 文章标签: PE 导入表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nyzdmc/article/details/79420115
版权

PE文件(1)导入表

概念

导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。
对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 文件被装入内存后,Windows的 加载器才将相关DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来。
这就是“动态链接”的概念。动态链接是通过PE 文件中定义的“导入表”来完成的,导入表中保存的正是函数名和其对应的DLL 名等。

定位导入表

每一个程序中都有多个模块,包括第一模块exe和众多的dll模块,
其中在第一模块exe中有多张导入表,而在其他每张dll中则都有一张导出表。(一般情况下)

导入表就在exe进程空间的PEB结构的PE文件中(并不是PE文件在PEB结构中),而是该模块的PEB结构中的成员ImageBaseAddress成员是整个PE文件的基地址。所以首先打开对方进程空间PEB,利用PEB中的一个PE文件基地址,PE文件中有导入表的偏移,PE文件的基地址加上这个偏移得到导入表的基地址

1.获得exe模块下PEB结构中PE文件的基地址

PEB     Peb = { 0 };
ULONG_PTR ModuleBase = 0;   
ModuleBase = (ULONG_PTR)Peb.ImageBaseAddress;

//注意:以下的所有结构都是微软公开的
//整个获取过程是在讲目标进程的PE文件读取到自己的内存中实现的ReadProcessMemory,所以读取NT之前必须先读取Dos头,(NT头的基地址由Dos头确定ModuleBase + ImageDosHeader.e_lfanew,而Dos基地址也就是PE文件基地址是上述的Peb.ImageBaseAddress)

2.获得导入表的偏移:
IMAGE_NT_HEADERS32(NT头)结构体的
(OptionalHeader成员)IMAGE_OPTIONAL_HEADER32结构体中的
(DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]成员IMAGE_DATA_DIRECTORY结构体的VirtualAddress成员

DWORD  v1 = 0;
v1 = ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

最后得到导入表的基地址:(ModuleBase + v1)

导入表结构

这里写图片描述

可以看出导入表结构实际上就是三个结构体数组
1.

typedef struct  _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD  Characteristics;
        DWORD  OriginalFirstThunk;//输入名称表INT的RAV  
    };
    DWORD  TimoeDateStamp;            //文件生成时间
    DWORD  ForwaiderChain;
    DWORD  Name;                      //DLL名称的RVA(一个用null作为结束符的ASCII字符串的一个RVA,该字符串是该导入DLL文件的名称,如:KERNEL32.DLL)
    DWORD  FirstThunk;                //输入地址表IAT的RAV  
} IMAGE_IMPORT_DESCRIPTOR;
IMAGE_IMPORT_DESCRIPTOR ImageImportDescriptor = { 0 };//导入描述符结构

2.

typedef struct _IMAGE_THUNK_DATA32 {
    union {
        DWORD ForwarderString;      //指向一个转向者字符串的RVA  
        DWORD Function;             //被输入的函数的内存地址
        DWORD Ordinal;         //被输入的函数的序数值
        DWORD AddressOfData;        //指向IMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

typedef struct _IMAGE_THUNK_DATA64 {
    union {
        ULONGLONG ForwarderString;  // PBYTE 
        ULONGLONG Function;         // PDWORD
        ULONGLONG Ordinal;
        ULONGLONG AddressOfData;    // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA64;
typedef IMAGE_THUNK_DATA64 * PIMAGE_THUNK_DATA64;

当 IMAGE_THUNK_DATA 值的最高位为 1时,表示函数以序号方式导入,这时候低 31位被看作一个函数序号。(可以用预定义值IMAGE_ORDINAL_FLAG32或80000000h来对最高位进行测试)。
当 IMAGE_THUNK_DATA 值的最高位为 0时,表示函数以字符串类型的函数名方式导入,这时双字的值是一个 RVA,指向一IMAGE_IMPORT_BY_NAME 结构。
3.

typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    CHAR   Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

Hint 字段也表示函数的序号,不过这个字段是可选的,有些编译器总是将它设置为 0,
Name1字段定义了导入函数的名称字符串,这是一个以 0 为结尾的字符串。

MailSloter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修复PE 文件导入
09-02
"PEConsole"可能是一个包含示例代码的VS2003工程,提供了修复PE文件导入的功能。通过查看和学习这个工程,我们可以更深入地理解导入的结构以及如何进行修复操作。在实际应用中,这样的工具对于调试、逆向工程、...
NT环境下进程隐藏的实现
08-04 1211
在NT环境下隐藏进程,也就是说在用户不知情的条件下,执行自己的代码的方法有很多种,比如说使用注册插入DLL,使用Windows挂钩等等。其中比较有代性的是Jeffrey Richer在《Windows核心编程》中介绍的LoadLibrary方法和罗云彬在《windows环境下32位汇编语言程序设计》中介绍的方法。两种方法的共同特点是:都采用远程线程,让自己的代码作为宿主进程的线程在宿主进程的地
一段仿真PE加载器行为的程序
Chinawash 专栏
07-09 1540
bool PELoader(char *lpStaticPEBuff, long lStaticPELen) {   long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c);   IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpStaticPEBuff + lPESignOffset);   /
PE文件导入,动态链接库中的函数应该如何导入
最新发布
yjh_fnu_ltn的博客
04-24 1124
(第一个位置的函数已经被导入),结合内存中的值可以说是一模一样,后面的函数一次再INT中取值,找到对应的函数名,通过GetProcAddress方法拿到对应函数的地址,再将其填入IAT,一致循环知道INT被拿完,则所需的kernel.dll动态链接库中的全部函数均导入完毕。另外,再代码中我们可以看到,调用动态链接库导入的函数,都是以取一个地址后,call该地址处的值来进行调用,而不是直接call函数的地址,为什么要进行一次。的起始地址,后续共kermel.dll需要导入的23个函数全部导入到内存中。
PE教程6: Import Table(引入)二
benny5609的专栏
06-17 1346
由OriginalFirstThunk 指向的RVA数组始终不会改变,所以若还反过头来查找引入函数名,PE装载器还能找寻到。当然再简单的事物都有其复杂的一面。有些情况下一些函数仅由序数引出,也就是说您不能用函数名来调用它们: 您只能用它们的位置来调用。此时,调用者模块中就不存在该函数的 IMAGE_IMPORT_BY_NAME 结构。不同的,对应该函数的 IMAGE_THUNK_DATA 值的
怎么拦截系统函数
01-10 6298
 主  题:  怎么拦截系统函数?(超高度难题!)    在Dos下,我们可以拦截中断,用自己的处理替换系统中断,然后调用原来的中断,在Windows中,没有了中断,只有函数,那么我们如何来拦截系统的函数,然后我们的函数又调用原来的系统函数呢?比如说系统有一个GetSystemDirectory()函数,我想用我自己的函数替换它,经过我的函数MyGetSystemDirectory()进行处理,然
在内存中加载DLL
热门推荐
wr960204(武稀松)的专栏
02-29 1万+
有个需求是把一个DLL作为数据打包到EXE中,运行的时候动态加载.但要求不是释放出来生成DLL文件加载.花了一天时间做出来.效果还可以.不过由于是直接分配内存加载DLL的.有一些小缺陷.例如遍历进程中加载的模块的时候是找不到这个DLL的.GetModuleXXXX之类的API也就不能用了.当然也可以Hook这些函数做处理.不过便利不到这个模块也未必不是一个优点.例如写木马黑客之类的代码的时
PE文件导入解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件导入,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
PE文件导入
03-29
打印PE文件导入信息 vs2005编译通过;
获取PE文件导入
04-02
获取PE文件导入中模块和API信息的源代码
PE.rar_PE导入_pe_导入
09-24
分析PE,查看PE文件导出导入
再读PE(2)
weixin_33908217的博客
02-20 74
先看一下输入结构:typedef struct _IMAGE_IMPORT_DESCRIPTOR{union{ DWORD Characteristics; //这个union子结构只是给OriginalFirstThunk添了个别名 DWORDOriginalFirstThunk; };DWORD TimeDateStamp; DWORD Forward...
PE文件填充.dll原理解析
笔记本
04-08 654
作为和杀毒软件的对抗技术出现的无特征码处理中一个比较小众,但是效果明显的技术就是.dll填充。而且作为一个上手即可使用毫无副作用的技术,作为预处理效果也非常明显。但是一直很疑惑为什么可以把输入中的.dll填充了却不会影响程序的运行。下面会从PE装载器和loadlibrary的汇编代码角度解析这个问题。 .dll填充简介: c32载入文件,把输入中一些关键dll的.dll4个字节填充为000...
深入剖析PE文件
lwglucky的专栏
03-15 5672
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE
屏幕取词技术实现原理与关键源码
01-08 603
虽然屏幕取词技术早已经不是什么秘密,以至于除了汉化工具、翻译工具、中文平台等等这些东西之外,连像SnagIt这样的抓图软件也能把抓取屏幕文本的功能做得像模像样,但金山词霸的取词技术就细节而言还是有着众多的独特之处,所以,作为在金山词霸组工作期间的一点积累,我最终还是决定把有关的一些东西写出来,这样也作为直到2006年为止金山词霸取词技术的一个比较稳定版本的记录。 单机版的金山词...
Do All In One EXE File Under Win32
10-25 1173
文章提交:icelord (icelord_at_sohu.com)希望题目没有语法错误。    Exe可执行,可以使用系统提供的各种服务,do all in one exe看起来是句废话。仅作技术研究,各位不要为几个文字争论。很早就看过高手写过的文章,>、>,今天我也来班门弄斧一把。做后门、木马,现在的技术不知道是什么样的,但是个人认为将他们做到内核之中,将更有威力。当然,这也是把双刃剑。见过一
PE文件基础补注
11-09 598
PE文件基础补注前言: 最近学习PE, 略有心得, 拿来和大家分享. 感谢: 小虾斑斑, 非安全  ,Bookworm对我的帮助.1.IMAGE_SECTION_HEADER小结:  1.1   获得节数 :NumberOfSections = NtHeader->FileHeader.NumberOfSections;1.2   节获得方法            方法1.因为NT头之后就
PE文件解析-输入、输出与重定位
zhyulo的博客
01-03 3227
一、 输入 1、输入地址定位    PE文件头可选映像头中数据目录的第二成员指向输入,输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个单元是NULL。     数据目录的第二成员 IMAGE_DATA_DIRECTORY DataDirectory[IM...
golang 实现pe文件格式的导入查询
05-30
要实现Pe文件格式的导入查询,可以使用Golang的debug/pe包。下面是一个简单的示例代码: ```go package main import ( "debug/pe" "fmt" "os" ) func main() { if len(os.Args) != 2 { fmt.Println("Usage...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值