IMAGE_IMPORT_DESCRIPTOR

最新推荐文章于 2022-03-31 11:11:21 发布
最新推荐文章于 2022-03-31 11:11:21 发布
阅读量7.7k 收藏 5
点赞数 3
分类专栏: 逆向 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pxm2525/article/details/40625339
版权
逆向 同时被 2 个专栏收录
10 篇文章 1 订阅
订阅专栏
PE
8 篇文章 0 订阅
订阅专栏

IMAGE_IMPORT_DESCRIPTOR结构体中记录着PE文件要导入哪些库文件


<span style="font-size:12px;">typedef struct _IMAGE_IMPORT_DESCRIPTOR {
	union {
		DWORD Characteristics;
		DWORD OriginalFirstThunk;			//INT(Import Name Table) address (RVA)
	};
	DWORD TimeDateStamp;
	DWORD ForwarderChain;
	DWORD Name;								//library name string address (RVA)
	DWORD FirstThunk;						//IAT(Import Address Table) address (RVA)
} IMAGE_IMPORT_DESCRIPTOR;

typedef struct _IMAGE_IMPORT_BY_NAME {
	WORD Hint;								//ordinal
	BYTE Name[1];							//function name string
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;</span>

OriginalFirstThunk     INT的地址

Name                           库名称字符串的地址

FirstThunk                   IAT的地址


  • INT与IAT是长整型(4个字节数据类型)数组,以NULL结束
  • INT中各元素的值为IMAGE_IMPORT_BY_NAME结构体指针(有时IAT也拥有相同的值)
  • INT与IAT的大小应相同

INT输入顺序

1.读取IID的Name成员,获取库名称字符串("kernel32.dll")

2.装载相应库——————> LoadLibrary("kernel32.dll")

3.读取IID的OriginalFirstThunk成员,获取INT地址

4.逐一读取INT中数组的值,获取相应IMAGE_IMPORT_BY_NAME地址(RVA)

5.使用IMAGE_IMPORT_BY_NAME的Hint(ordinal) 或Name项,获取相应函数的起始地址。 GetProcAddress("GetCurrentThreadId")

6.读取IID的FirstThunk(IAT)成员,获得IAT地址

7.将上面获得的函数地址输入相应IAT数组值。

8.重复以上补助4~7,直到INT结束(遇到NULL时)




termonitor
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结10---PE文件结构之导入表 (IMAGE_IMPORT_DESCRIPTOR
oBuYiSeng的博客
12-11 4285
1、导入表基址是PE文件从其他三方程序中导入API,以供本程序调用的机制 2、是分析最好的切入点 IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色,引导系统找到真正保存有导入信息的其他两个结构:  IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_DESCRIPTOR {
IMAGE_IMPORT_DESCRIPTOR结构
Ghjhfssfgk的博客
01-28 967
IMAGE_IMPORT_DESCRIPTOR结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { DWORD OriginalFirstThunk; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThunk; } IMAGE_IMPORT...
12.PE文件之导入表(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5437
目录 导入表定位以及解析(手动FileBuffer) 导入表定位以及解析(手动ImageBuffer) 代码定位导入表并打印其数据 导入表注入 导入表是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入表数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
13.PE文件之绑定导入表(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3854
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入表,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT表的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入表定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
导入表 IMPORT_DESCRIPTOR
dengjiatao9832的博客
09-21 352
typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // 包...
输入表注入
12-28
输入表注入是一种常见的网络安全漏洞,主要发生在Web应用程序中,尤其是涉及到用户输入数据导入数据库的场景。这个漏洞允许攻击者通过精心构造的输入数据,干扰或操纵数据库查询,从而获取敏感信息、修改数据甚至...
itview.rar_dllname
09-22
3. **遍历导入描述符**:对于每个IMAGE_IMPORT_DESCRIPTOR,我们提取DLLName,这是指向含有DLL名称字符串的RVA(Relative Virtual Address)。将RVA转换为实际的字符串,我们就得到了DLL的名称。 4. **获取APIName*...
修改exe PE格式中的IAT API钩子 通过修改IAT表实现 截获API调用,替换之.zip
01-19
`Module32First ImageDirectoryEntryToData IMAGE_DIRECTORY_ENTRY_IMPORT IMAGE_IMPORT_DESCRIPTOR IMAGE_THUNK_DATA FirstThunk.txt`则可能是关于PE文件结构和IAT相关数据结构的详细说明。 总之,通过修改PE文件...
PE Format Layout.pdf
08-31
本文将深入解析PE文件的结构,特别是其中的导入描述符(_IMAGE_IMPORT_DESCRIPTOR)以及相关的概念。 在PE文件中,_IMAGE_IMPORT_DESCRIPTOR 结构体扮演着至关重要的角色,它描述了PE文件如何导入其他DLL中的函数。...
Dlib_face_recognition_from_camera-master.zip
01-09
face_descriptor = facerec.compute_face_descriptor(image, landmarks) ``` 对比两张人脸是否相同,我们通常会计算两个特征向量之间的欧氏距离。如果距离小于某个阈值,我们认为它们属于同一人: ```python def ...
windows下一些Structure定义(pe、IMAGE_IMPORT_DESCRIPTOR
04-27 2076
=================================Structure of Import Symbols table=================================A portable executable (PE) file contains IMAGE_NT_HEADERS This structs members are:
PE文件导入表代码解析
做一个快乐学习者
05-02 559
解析导入表就需要先认识下面这三个结构体 //导入表结构体 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; //主要这个,包含指向INT的RVA DWORD OriginalFirstThunk; }; //时间标识 DWORD TimeDateStamp...
PE格式----目录----导入表
一个热爱逆向,喜爱学习、分享的猿。
01-21 469
导入模块数组 导入表是一个IMAGE_IMPORT_DESCRIPTOR数组, 长度是14h,并且以14h字节的“0”作为数组结尾。每个模块对应一个IMAGE_IMPORT_DESCRIPTOR结构。( WinNt.h)。 struct _IMAGE_IMPORT_DESCRIPTOR { +0h union { DWORD Characteristics; DWORD OriginalFirstThunk; //IMAGE_THUNK_DA
PE导入表总结
weixin_30532973的博客
01-23 56
导入表 导入表是为实现代码重用而设置的。通过分析导入表数据,可以获得诸如PE文件的指令调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息。Windows加载器在运行PE时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址。数据目录中一共有四种类型的数据与导入表数据有关: 导入表 导入函数地址表 绑定导入表 延迟加载导入表 1...
【PE】PE文件结构学习
dr0op's blog
03-31 1237
【PE】PE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
《Windows核心编程》之“API Hooking”(二)
Sagittarius_Warrior的博客
08-17 1106
前一篇主要讲“API Hooking”的原理——修改IAT,这一篇主要讲代码实现和调试。 一、修改IAT     我们要修改IAT,首先要了解导入段的数据结构和操作API。 1,IMAGE_IMPORT_DESCRIPTOR     在winnt.h文件中,定义了这么一个数据结构来描述导入段中的信息单元 typedef struct _IMAGE_IMPORT_DESCRIPTOR {
WINDOWS+PE权威指南读书笔记(5)
沐一 · 林 的博客
10-02 307
PE中的导入表 Windows 加载器在运行 PE 时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址。在数据目录中一共有四种类型的数据与导入表数据有关。 这四种数据依次为: 口导入表 口导入函数地址表 口绑定导入表 口 延迟加载导入表 导入表的概念: Windows API 函数,这些代码存储在 DLL 文件,即动态链接库中。在动态链接库里存放的不是函数的源代码,而是编译链接以后生成的字节码。 看下面的两个调用语句: invoke Mes
PE文件详解(六)
Masimaro的专栏
03-21 3030
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节表和数据目录表,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录表进行索引和通过节表进行索引都是可以找到的,也可以这么说,同一个数据在节表和数据目录表中都有一份索引值,那么这两个表有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
windows PE IMAGE_DIRECTORY_ENTRY_IMPORT
最新发布
06-04
} IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR; ``` 其中,`OriginalFirstThunk`指向一个`IMAGE_THUNK_DATA`数组,该数组中存储了导入函数的名称和序号。当程序被加载到内存中时,该数组中的名称和序号将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值