模拟Loader装载输入函数的RVA地址至FirstThunk

最新推荐文章于 2022-07-11 07:36:00 发布
最新推荐文章于 2022-07-11 07:36:00 发布
阅读量305 收藏
点赞数
分类专栏: 逆向 文章标签: PE结构 导入表 导出表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/90056537
版权
本文详细介绍了在程序加载过程中,如何模拟系统处理导入表中ImportByName的部分,将RVA地址替换到FirstThunk,以理解PE文件结构和加载过程。
摘要由CSDN通过智能技术生成

这次模拟了系统在加载程序到内存时,程序的导入表中的FirstThunk被替换的过程。这里只演示了ImportByName的情形,仅供自娱自乐,233333。

#include <Windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#pragma warning(disable:4996)
#pragma warning(disable: 4018)

DWORD CalcFileOffset(PIMAGE_SECTION_HEADER pSectionHeader, DWORD dwVirtualAddr);
BOOL IsPeFormat(UCHAR *data);
bool FindCorrespondingDll(UCHAR *pImportTable, UCHAR *data);
BOOL FindCorrespondingDllFunction(PIMAGE_IMPORT_DESCRIPTOR pImageDescriptor, UCHAR *data);
DWORD FindCorrespondingImportFunctionByName(char *importedFunctionName, char * DllName);
UCHAR *GetFileData(char *fileName);
DWORD GetExportTableRVA(UCHAR *data);

DWORD numberOfSections = 0;//区块表数目

BOOL IsPeFormat(UCHAR *data)//check 是否是pe文件格式
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)data;
	PIMAGE_NT_HEADERS pFileHeader = NULL;

	if (pDosHeader->e_magic == IMAGE_DOS_SIGNATURE) {
   
		pFileHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader+pDosHeader->e_lfanew);
		if (pFileHeader->Signature == IMAGE_NT_SIGNATURE)//若这两个签名都满足 说明是PE格式文件
			return TRUE;
	}

	return FALSE;
}


bool FindCorrespondingDll(UCHAR *pImportTable, UCHAR *data)//找到给定pe文件的依赖dll,即导入的各项的dll,然后再分发给子函数 
{
   
	PIMAGE_IMPORT_DESCRIPTOR pImageDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)pImportTable;//输入表以一个全0的PIMAGE_IMPORT_DESCRIPTOR作为结束条件
	UCHAR *zeroBuf = (UCHAR *)malloc(sizeof(IMAGE_IMPORT_DESCRIPTOR));
	memset(zeroBuf, 0, sizeof(IMAGE_IMPORT_DESCRIPTOR));

	while (memcmp(pImageDescriptor, zeroBuf, sizeof(IMAGE_IMPORT_DESCRIPTOR)) != 0) {
   //当输入表描述符不为全0时
		//每个输入表描述符描述一个DLL的信息,送入相应的处理函数处理每一个DLL
		FindCorrespondingDllFunction(pImageDescriptor, data);//送入一个DLL描述符
		pImageDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImageDescriptor + sizeof(IMAGE_IMPORT_DESCRIPTOR));//获取下一个输入表描述符
	}
	return TRUE;
}

BOOL FindCorrespondingDllFunction(PIMAGE_IMPORT_DESCRIPTOR pImageDescriptor, UCHAR *data)//用于获得每个DLL的相应的函数的函数名用于二进制比较 函数名都是ASCII字符串
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)data;
	PIMAGE_NT_HEADERS pFileHeader = (PIMAGE_NT_HEADERS)((DWORD)data + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pHeader = (PIMAGE_FILE_HEADER)(&pFileHeader->FileHeader);//获取fileHeader
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)(&pFileHeader->OptionalHeader);//获得可选头地址
	PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)IMAGE_FIRST_SECTION(pFileHeader);//获取区块表地址
	DWORD offsetOfDllName = CalcFileOffset(pSectionHeader
最低0.47元/天 解锁文章
Lun3r-
关注
专栏目录
DLL装载的实现
For Geek
05-11 1486
Dll装载的实现 Dll装载主要由LdrInitializeThunk函数实现,具体如下 typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList;//链 LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; PVOI...
PE结构->【输入】Import【下】
u011513939的博客
06-21 369
输入结构回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。而输入是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。 每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多少个链接
FirstThunk
weixin_33754065的博客
10-02 147
FirstThunk 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3846788.html
PE格式详细讲解8 - 系统篇08|解密系列
weixin_33724659的博客
06-20 137
PE格式详细讲解8-系统篇08 让编程改变世界 Change the world by program 在此之前,我们已经对这个输入进行了一些实践和理解,这有助于大家对这个概念更进一步的加深认识。 小甲鱼觉得,越是复杂的问题我们应该越是去动手操作它,认识它,这样才容易熟悉它! 在上一节课我们像小鹿一样的乱撞,终于撞到了输入里边包含的函数名称,嘿嘿,不过地址,我们...
RvaToOffset 函数实现
B_H_L的专栏
04-03 1800
DWORD RvaToOffset(PBYTE pMapping, DWORD dwRva) { IMAGE_DOS_HEADER *pidh = (IMAGE_DOS_HEADER *)pMapping; IMAGE_NT_HEADERS *pinh = (IMAGE_NT_HEADERS *)(pMapping + pidh->e_lfanew);
导入内注入代码(一)
domisou
09-23 2052
 导入内注入代码(一)作者: Ashkbiz Danehkar翻译:小刀人原文出处下载源代码(包括:itview.zip (87.1 KB) pemaker6.zip (96.6 KB) pemaker7.zip (193 KB)zimport.zip (130 KB)。译注:本文代码可在VS2003及WINDOWSXP+sp2下正常运行,Windows2000下ITview功能
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1388
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
C实现PE结构解析
weixin_44644249的博客
12-11 626
C实现PE结构解析 其实就是照着PE结构图抄过来,定义结构体,用结构体指针访问,挨个打印出来。 这里随便用了个if_else的win32控制台程序。只写了DOS头、标准头、节,可选头的结构还没写完,先放着,写完了再更新。 代码: #include <stdio.h> #include<stdlib.h> #define _CRT_SECURE_NO_WARNINGS char filepath[] = "D:\\if_else.exe"; typedef char byte; ty
PE文件关于虚拟相对地址RVA与基于文件的偏移地址关系
tomorrowsprogress的专栏
11-05 1996
 由PE装载器将PE文件加到虚拟内存时使用的地址均是RVA地址, 而在文件中存放的数据的地址是基于文件的偏移地址, 因此存在一个从RVA到偏移地址的转换过程。当我们通过内存映射文件的方式获取文件数据内容时使用的是基于文件的偏移地址,这样才能正确获取我们所要获取的数据。template void DumpImportsSection(PBYTE pImageBase, T * pNTHeade
内存偏移(RVA)与文件偏移(offset)相互转换
SauceJ的专栏
09-19 4038
写此文源于前一阵写一个PE修改工具,需要用到内存偏移向文件偏移转化。
PE解析器的编写(四)——数据目录的解析
Masimaro的专栏
05-08 1924
PE结构中最重要的就是区块和数据目录,上节已经说明了如何解析区块,下面就是数据目录,在数据目录中一般只关心导入导出和资源这几个部分,但是资源实在是太复杂了,而且在一般的病毒木马中也不会存在资源,所以在这个工具中只是简单的解析了一下导出导出。这节主要说明导入,下节来说导出RVA到fRva的转化 RVA转化为fRva主要是通过某个数据在内存中的相对偏移地址找到其在文
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6601
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段导入结构详解:https://blog.csdn.net/qq_30145355/article/d...
得到函数 RVA
FISH 的专栏
02-16 1919
 
解析导入和IAT
hambaga的博客
05-21 1826
一、导入结构 导入结构看起来复杂,其实只是套娃,不要被它吓到了。 导入的定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
备忘录——通过RVA计算文件位置
weixin_33724046的博客
01-08 181
备忘录——通过RVA计算文件位置 原创:Anders Liu 摘要:本文介绍了如何通过PE文件中某一项的RVA来计算其在文件中的位置。 参考文献 ECMA-335——Common Language Infrastructure (CLI) 4th Edition, June 2006 范畴 该备忘录描述了在分析PE(可移植可执行,Portable Executabl...
C++写壳之高级篇
weixin_33782386的博客
05-21 389
2019独角兽企业重金招聘Python工程师标准>>> ...
软件安全实验:搜索API函数地址
"周玉川同学的软件安全实验报告,实验内容涉及搜索API函数地址,包括kernel32.dll的虚拟地址以及LoadLibrary()和GetProcAddress()的地址。实验旨在理解API函数搜索原理,掌握动态链接库地址获取方法。" 实验报告...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值