MemoryModule阅读与PE文件解析(二)---导入表

最新推荐文章于 2024-05-15 16:00:38 发布
最新推荐文章于 2024-05-15 16:00:38 发布
阅读量768 收藏
点赞数
分类专栏: 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/68486518
版权

MemoryModule阅读与PE解析(二)---导入表

首先来了解导入表的概念

头文件:

#ifndef DLL_FUC

#define DLL_FUC extern"C" __declspec(dllimport)

#endif

实现:这里函数只是简单的输出 HelloA

 

void HelloExprotFunctionA()

{

    printf("HelloA\n");

}

 

使用:

#include "../x86Dll/x86Dll.h"

#pragma comment(lib,"../debug/x86Dll.lib")

HelloExprotFunctionA();

 

我们调试反汇编发现,其调用指向内存0x00318378 内存位置的内容,即地址0x52D013A0h,F11进去之后发现确实跳转到了该地址,该地址即为HelloExprotFunctionA函数的地址。

使用ProcessHacker得到进程模块基地址如下:

由此算到上面的那个内存地址0xC83788的RVA为:0x18378

使用CFF Explorer 打开exe 然后查看RVA 对应内容发现:

保存的是一个RVA,得到了导入函数名,后面还有模块名称

 

我们发现exe文件中并没有HelloExprotFunctionA函数的地址,该位置出存储的仅仅是一个结构的地址而已,然而当程序运行起来之后,其存储的值为函数的地址,请看下图

图片来源:http://blog.csdn.net/evileagle/article/details/12357155

导入表中有一个成员FirstThunk指向IAT结构,在PE加载入内存之前,其值与OriginalFirstThunk相同,指向一个结构体,在PE被加载之后,FirstThunk 中的内容变为函数的真实地址,在其函数中对于导入函数的引用就是取的导入表中对应位置的地址,然后跳转到目标函数运行。

我们来看call 指令的地址,计算得到其RVA后在exe 中查看其内容如下:

我们发现其存储的就是一个绝对地址,而这个地址在exe 初始化的时候由于上一节提到的修正了重定向项,其值变为真实的IAT 对应的项的地址。

PE 未加载时,该函数引用的是一个VA----其刚好对应于IAT 中对应项的RVA。这样,我们就明白了PE 文件引用外部函数的过程,导入表的修订,就是将IAT中的对应的项的地址修正为所要引用的函数的真实地址即可,所谓的对应,就是与上图中函数编号-函数名的结构体对应,根据该结构体来获得PE引用的外部函数的(DLL 名称,函数名称)来得到对应的函数地址,然后填充IAT中对应的项即可

简单介绍相关结构:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

    union {

        DWORD   Characteristics;     // 0 forterminating null import descriptor

        DWORD   OriginalFirstThunk;// PIMAGE_THUNK_DATA结构的其实RVA,为0表示结束

    } DUMMYUNIONNAME;

    DWORD   TimeDateStamp;                 //0 如果没有绑定

                                            // -1 绑定

                                            // O.W. date/time stamp of DLL bound to (Old BIND)

 

    DWORD   ForwarderChain;                 //-1 if no forwarders

    DWORD   Name;                           // DLL 名称

    DWORD   FirstThunk;                     //IAT的RVA

}IMAGE_IMPORT_DESCRIPTOR;

 

typedef struct _IMAGE_THUNK_DATA32 {

    union {

        DWORDForwarderString;      // PBYTE

        DWORD Function;            //PDWORD

        DWORDOrdinal;

        DWORDAddressOfData;        // PIMAGE_IMPORT_BY_NAME

    } u1;

}IMAGE_THUNK_DATA32;

typedef IMAGE_THUNK_DATA32* PIMAGE_THUNK_DATA32;

这里存储的是DLL 的名称和序号,所谓需要就是DLL 中导出函数的一个序号,一般不用

typedef struct_IMAGE_IMPORT_BY_NAME{

    WORD    Hint;

    BYTE    Name[1];

} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

下面来看修正导入表的函数

static BOOL

BuildImportTable(PMEMORYMODULEmodule)

{

   unsigned char *codeBase = module->codeBase;

   PIMAGE_IMPORT_DESCRIPTOR importDesc;

   BOOL result = TRUE;

 

   PIMAGE_DATA_DIRECTORY directory =GET_HEADER_DICTIONARY(module,IMAGE_DIRECTORY_ENTRY_IMPORT);

   if (directory->Size == 0) {

       return TRUE;

   }

 

   importDesc = (PIMAGE_IMPORT_DESCRIPTOR) (codeBase + directory->VirtualAddress);

   for (; !IsBadReadPtr(importDesc,sizeof(IMAGE_IMPORT_DESCRIPTOR)) && importDesc->Name; importDesc++) {

       uintptr_t *thunkRef;

       FARPROC *funcRef;

       HCUSTOMMODULE *tmp;

       HCUSTOMMODULE handle = module->loadLibrary((LPCSTR) (codeBase +importDesc->Name),module->userdata);

       if (handle == NULL) {

            SetLastError(ERROR_MOD_NOT_FOUND);

            result = FALSE;

            break;

       }

 

       tmp = (HCUSTOMMODULE *) realloc(module->modules, (module->numModules+1)*(sizeof(HCUSTOMMODULE)));

       if (tmp == NULL) {

            module->freeLibrary(handle,module->userdata);

            SetLastError(ERROR_OUTOFMEMORY);

            result = FALSE;

            break;

       }

       module->modules = tmp;

 

       module->modules[module->numModules++] = handle;

       if (importDesc->OriginalFirstThunk) {

            thunkRef = (uintptr_t *) (codeBase +importDesc->OriginalFirstThunk);

            funcRef = (FARPROC *) (codeBase +importDesc->FirstThunk);

       } else {

            // no hint table

            thunkRef = (uintptr_t *) (codeBase +importDesc->FirstThunk);

            funcRef = (FARPROC *) (codeBase +importDesc->FirstThunk);

       }

       for (; *thunkRef; thunkRef++, funcRef++) {

            if (IMAGE_SNAP_BY_ORDINAL(*thunkRef)) {

                *funcRef = module->getProcAddress(handle,(LPCSTR)IMAGE_ORDINAL(*thunkRef),module->userdata);

            } else {

                PIMAGE_IMPORT_BY_NAME thunkData = (PIMAGE_IMPORT_BY_NAME) (codeBase + (*thunkRef));

                *funcRef = module->getProcAddress(handle,(LPCSTR)&thunkData->Name,module->userdata);

            }

            if (*funcRef == 0) {

                result = FALSE;

                break;

            }

       }

       if (!result) {

            module->freeLibrary(handle,module->userdata);

            SetLastError(ERROR_PROC_NOT_FOUND);

            break;

       }

   }

 

   return result;

}

IMAGE_SNAP_BY_ORDINAL 宏用于判断当前的导入函数是否是按照序号导入的,如果是的话,下面的宏IMAGE_ORDINAL用于取出序号。

#define IMAGE_ORDINAL_FLAG32 0x80000000

#define IMAGE_SNAP_BY_ORDINAL32(Ordinal) ((Ordinal &IMAGE_ORDINAL_FLAG32) != 0)

如果最高位为1,表示按照序号导入

#define IMAGE_ORDINAL32(Ordinal) (Ordinal & 0xffff)

表示取低四字节来表示序号。

 

然后导入表的修正已经结束了,剩下的一节介绍剩余知识。

kiki商
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go-MemoryModule:转到MemoryModule的绑定示例
05-01
go-MemoryModule 转到MemoryModule的绑定示例 构建内存模块和Go的64位版本。 已在Ubuntu 14.04 LTS上测试。 安装所需的软件包: sudo apt-get install cmake sudo apt-get install golang-go-linux-386 golang-go-windows-386 golang-go-windows-amd64 sudo apt-get install g++-mingw-w64-x86-64 g++-mingw-w64-i686 gcc-mingw-w64-i686 gcc-mingw-w64-x86-64 从此特定分支克隆(直到接受拉取请求): cd /source git clone -b fix-deprecated-wcsnicmp https://github.com/kost/Mem
开源项目推荐:MemoryModule
$firecat利白的代码足迹$
05-06 926
Library to load a DLL from memory. https://github.com/fancycode/MemoryModule https://www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/ 思路:把dll文件放到exe的资源文件里,使用MemoryModule加载到内存,远程注入到其他软件的进程里,注射完exe关闭,这样本地和其他软件的进程中就不会查到dll,从而做到隐藏运行。 在VS2015中把D.
MemoryModule - 应用编程细节
最新发布
谢绝留言与私信
05-15 463
MemoryModule将DLL从内存载入,试过了好使。在内存载入的DLL中,对自身对应的载入前实体做完整性的hash校验。在内存载入的DLL中,取得资源信息(文件版本资源中的版本信息等,字符串资源)需求1,官方没提供内存载入之前的实体信息,这个要自己改,在CTX上加入载入前的信息(pData, lenData)需求2,官方演示了前半段,演示的不全。需要自己整理一下。
windows反射dll加载并结合msf上线
Shanfenglan's blog
07-05 1132
文章目录1.常规调用1.1 写一个dll文件1.2 调用刚写的dll2. 使用MemoryModule的方法调用: 1.常规调用 逻辑: 1. 利用loadlibrary函数将dll文件导入。 2. 利用GetProcAddress函数找到dll文件中我们想调用的函数的地址。 3. 调用。 1.1 写一个dll文件 #include <Windows.h> VOID msg(VOID){ MessageBox(NULL,TEXT("Test"),TEXT("Hello"),MB_OK);
MemoryModule阅读PE文件解析(一)
商少
10-25 3339
参考链接https://github.com/fancycode/MemoryModule本文阅读github 上MemoryModule 代码的同时,介绍PE 文件相关的基础知识。      该项目实现“手动加载DLL”即“实现了自己的LoadLibrary函数”,将DLL 加载到内存中,然后进行常规的DLL 操作。 函数第一步,通过调用LoadLibrary 函数加载DLL 并进行一些常规的
推荐 MemoryModule - 完全自定义的内存模块!
gitblog_00001的博客
03-07 319
推荐 MemoryModule - 完全自定义的内存模块! MemoryModule 是一个开源的内存模块工具,它允许开发者完全自定义内存管理模块,从而更好地满足特定场景下的性能需求。 MemoryModule 能做什么? MemoryModule 提供了一个灵活的框架,使得开发者可以自定义内存分配、释放等操作,以优化应用程序在特定场景下的内存管理。无论是减少内存碎片、提高内存利用率还是提升内存访...
MemoryModule: 更好的内存管理工具
gitblog_00006的博客
03-05 416
MemoryModule: 更好的内存管理工具 MemoryModule 是一个轻量级的库,旨在提供更好的内存管理和分析能力。它允许程序员更方便地进行内存分配、释放和检查,从而提高程序的稳定性和效率。 使用场景 MemoryModule 可以用于各种需要进行内存管理的场合。例如: 在开发过程中,可以通过 MemoryModule 进行内存泄露检测。 在优化代码性能时,可以使用 MemoryMod...
MemoryModule阅读PE文件解析(四)---深入理解TLS
商少
04-05 1822
下面的操作是关于TLS 和 PE 入口点函数的,首先,了解什么是TLS。 TLS 是线程局部存储的简称,这种机制的特殊之处就在于,线程相关。对于普通的变量来说,如果它是全局或静态的,那么如果多线程程序同时访问可能会造成逻辑问题,TLS 提供了一种简便的方法来实现线程访问与该线程相关联的全局或静态变量的方法。 TLS 分为静态和动态 动态TLS 如下图所示: PEB 中有一个
从内存中加载的DLL
yizhenweifeng的专栏
03-26 2635
从内存中加载的DLL e文 http://www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/ 以下通过google翻译  本教程介绍如何从内存中加载一个动态链接库(DLL)。 概括 默认的Windows API函数加载到程序的外部库(调用LoadLibrary,LoadLibraryEx)只适用于文件系统
MemoryModule-master.zip
07-08
把dll文件放到exe的资源文件里,使用MemoryModule加载到内存,远程注入到其他软件的进程里,注射完exe关闭,这样本地和其他软件的进程中就不会查到dll,从而做到隐藏运行。
MemoryModule windows 下内存加载动态库的源代码
05-25
windows 下在内存中加载动态库实现的源代码 MemoryModule
内存加载dll
03-26
内存加载动态库 MemoryLoadLibrary 有例子。 /* * Memory DLL loading code * Version 0.0.3 * * Copyright (c) 2004-2013 by Joachim Bauch / mail@joachim-bauch.de * http://www.joachim-bauch.de * * The contents of this file are subject to the Mozilla Public License Version * 2.0 (the "License"); you may not use this file except in compliance with * the License. You may obtain a copy of the License at * http://www.mozilla.org/MPL/ * * Software distributed under the License is distributed on an "AS IS" basis, * WITHOUT WARRANTY OF ANY KIND, either express or implied. See the License * for the specific language governing rights and limitations under the * License. * * The Original Code is MemoryModule.h * * The Initial Developer of the Original Code is Joachim Bauch. * * Portions created by Joachim Bauch are Copyright (C) 2004-2013 * Joachim Bauch. All Rights Reserved. * */ #ifndef __MEMORY_MODULE_HEADER #define __MEMORY_MODULE_HEADER #include typedef void *HMEMORYMODULE; typedef void *HMEMORYRSRC; typedef void *HCUSTOMMODULE; #ifdef __cplusplus extern "C" { #endif typedef HCUSTOMMODULE (*CustomLoadLibraryFunc)(LPCSTR, void *); typedef FARPROC (*CustomGetProcAddressFunc)(HCUSTOMMODULE, LPCSTR, void *); typedef void (*CustomFreeLibraryFunc)(HCUSTOMMODULE, void *); /** * Load DLL from memory location. * * All dependencies are resolved using default LoadLibrary/GetProcAddress * calls through the Windows API. */ HMEMORYMODULE MemoryLoadLibrary(const void *); /** * Load DLL from memory location using custom dependency resolvers. * * Dependencies will be resolved using passed callback methods. */ HMEMORYMODULE MemoryLoadLibraryEx(const void *, CustomLoadLibraryFunc, CustomGetProcAddressFunc, CustomFreeLibraryFunc, void *); /** * Get address of exported method. */ FARPROC MemoryGetProcAddress(HMEMORYMODULE, LPCSTR); /** * Free previously loaded DLL. */ void MemoryFreeLibrary(HMEMORYMODULE); /** * Find the location of
Python库 | pymemorymodule-0.1.0-cp34-cp34m-win32.whl
02-27
python库。 资源全名:pymemorymodule-0.1.0-cp34-cp34m-win32.whl
MemoryModule0.0.4
03-26
从内存装载DLL,支持64位DLL,是MemoryModule最新版本,亲测可用
MemoryModule-master.rar
10-22
1:内存注入dll的例子; 2:内存注入dll的dll代码; 3:一般的dll加载方法; 注意:低版本的vs不支持; uintptr_t是4/8字节要根据对应的系统转换;
Delphi_MemoryModule-master.zip
07-14
Delphi_MemoryModule-master.zip
MemoryModule-0_0_4.zip_DllLoader_64_MemoryModule 0.0.4_MemoryMod
07-15
一个支持64位的内存加载dll源码,公开版。
PE文件学习笔记(一)---导入导出
还木人的博客
10-07 3110
最近在看《黑卡免杀攻防》,对讲解的PE文件导入、导出的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入导入机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
dll反编译工具 查看源码
08-21
一旦你打开了DLL文件,你就可以在dotPeek中查看并浏览源码了。 另外,如果你想了解更多关于内存加载并运行DLL函数的内容,你可以查看MemoryModule的开源源码。这个工具可以在Windows系统中加载并运行DLL函数。你可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值