- 博客(3)
- 收藏
- 关注
原创 滴水逆向三期实践17:导入表注入
在动态链接库一章提到DllMain,这里再回顾一次当dll被加载进4GB空间时,会调用一次DllMain(入口方法)当程序执行完了要把dll从4GB空间被卸载,也会调用一次DllMain注入的本质就是想方设法把自己的dll扔到别人进程的4GB空间里而前面导入表一章在最后提到,只有在PE文件内隐式调用(静态使用)时才会在调用者PE文件的导入表内出现该 dll 的名字和相关函数,若为显示调用(动态使用),则这个被调用的dll名和相关函数不会在调用者导入表内出现。那么反过来也就是说,写
2021-11-10 22:22:36 2571 4
原创 滴水逆向三期实践17:绑定导入表
上一章最后讲到,打印导入表时如果打印的某些 exe 比如 xp系统自带的 记事本 即notepad.exe(win10 的 notepad.exe已经没有这种情况了),那上面打印的结果就不一定是如上一章所说的了,因为我们默认了 FirstThunk 也就是IAT 表的内容不是函数编号就是函数名的 RVA,实际上在文件中的 IAT 表仍然有第三种情况,这就是本章讲的内容了IAT 表在文件中存储的内容未必是序号和函数名的 RVA,还有可能直接就是上章讲的文件运行加载进内存后呈现的真正的函数地址。而这个.
2021-11-10 16:48:36 1179 1
原创 滴水逆向三期实践16:IAT表和导入表
IAT表在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
2021-11-09 21:18:41 2826
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人