绑定输入

最新推荐文章于 2022-05-24 10:17:04 发布
最新推荐文章于 2022-05-24 10:17:04 发布
阅读量222 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/90107618
版权

绑定输入和延迟载入,本质上都是为了程序的快速运行而考虑的。

绑定导入的结构,每一个绑定输入的DLL都对应于一个IMAGE_BOUND_IMPORT_DESCRIPTOR结构

typedef struct _IMAGE_BOUND_IMPORT_DESCRIPTOR {
      DWORD TimeDateStamp;     
      WORD OffsetModuleName; 
      WORD NumberOfModuleForwarderRefs;  
} IMAGE_BOUND_IMPORT_DESCRIPTOR, *PIMAGE_BOUND_IMPORT_DESCRIPTOR;

TimeDateStamp,这里的时间戳是比较有用的,在Loader加载的时候,会对时间戳进行一个比对操作,若是一个stale时间戳,则会从输入表加载该DLL。
OffsetModuleName,对应该绑定导入的DLL的名称的偏移,注意这里的偏移量不是RVA,而是首个IMAGE_BOUND_IMPORT_DESCRIPTOR的地址。
NumberOfModuleForwarderRefs,后面IMAGE_BOUND_FORWARDER_REF结构的数量,即转发链机制,这里是表示转发的模块数量。

再来看下IMAGE_BOUND_FORWARDER_REF结构

typedef struct _IMAGE_BOUND_FORWARDER_REF {
         DWORD TimeDateStamp;
         WORD OffsetModuleName;
         WORD Reserved;
} IMAGE_BOUND_FORWARDER_REF, *PIMAGE_BOUND_FORWARDER_REF;

可以看到除了最后一项被保留外,其余项跟IMAGE_BOUND_IMPORT_DESCRIPTOR结构相同。

下面实战下:

在这里插入图片描述这里LordPe有点问题,看到绑定导入的RVA是0x250

转到绑定导入的地方
在这里插入图片描述第一项是时间戳,0x4802bda2,第二项是绑定的DLL名称的偏移,这里是0x58,加上0x250,所指向的是0x2A8,也就是ccmdlg32.dll,其转向的DLL项数是0,可以看到转发的DLL是很少的。
在这里插入图片描述

只有这里有一项转发,这里的偏移是0xA3,加上0x250,也就是0x2f3,转发的数量为1,所以后面有一项IMAGE_BOUND_FORWARDER_REF结构,后面一项的偏移是0xB0,也就是0x300
在这里插入图片描述
在这里插入图片描述

可以看到Kernrl32.dll的函数转发到ntdll.dll的相应函数。

Lun3r-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vue表单输入绑定的示例代码
10-17
在声明`v-model`绑定时,Vue会忽略输入元素的初始`value`、`checked`或`selected`属性值,而是将Vue实例中`data`对象的数据作为绑定的数据源。 在Vue中创建双向数据绑定的基本用法包括: - 文本输入框和多行文本域...
PE文件格式学习(十四):绑定导入表
11-08 191
1.介绍 绑定导入表的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入表中的dll文件,并将导入表的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入表中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入表,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入表的生效,有两个前提条件: 程序初始化时,导...
PE-导入表
megaparsec
12-19 1960
导入表 在数据目录中一共有四种类型的数据与导入表数据有关。这四种数据依次为: 1.导入表 2.导入函数地址表 3.绑定导入表 4.延迟加载导入表 2.1 导入表 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入表所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE结构&绑定导入实现
寻梦&之璐
02-04 7738
简介 作用 绑定导入是一种提高PE加载速度的技术。它只能起辅助性作用,它的存在与否只影响加载过程,并不影响PE的最终加载结果和运行结果。 为什么说是辅助性呢? 因为不同的操作系统中,动态链接库的基地址是不一样的。举个例子,kernel32.dll,在Windows 2000中其加载到进程空间的基地址为0x77e60000,而在Windows XP SP3中其加载地址则是0x7c800000。同一动态链接库加载后处于不同的基地址,直接导致了同一个导入函数在不同操作系统中其导入地址VA是不一样的。 因此经过绑定
Dapr for dotnet | 输入/输出绑定 - Input/Output Bindings
ChaITSimpleLove的博客
04-15 960
Dapr 绑定(Bindings)介绍 基于云的 Serverless 产品/服务(如 Microsoft Azure Function 和 Amazon AWS Lambda)已在分布式体系结构领域获得了广泛的应用。 它们有一个优势是 使微服务能够处理来自外部系统的事件或在外部系统中调用事件 ,从而 消除了底层复杂性和管道问题 。 Serverless 基本概念入门参考 =》https://www.infoq.cn/article/s101GtcCV05_2AgKo8GD
解析绑定导入表
hambaga的博客
05-22 813
一、绑定导入表的作用 有些windows程序,如notepad,为了提高加载速度,会直接把DLL中的函数地址写入到IAT表,省去了加载时的计算。但是这样会有两个问题,第一,当DLL没有占住ImageBase时,IAT中的地址就是错的;第二,当链接的DLL被修改了,那IAT里写的地址也是错的。遇到这两种情形之一,加载时就必须修复IAT了。 对于第二种情形,DLL是否被修改,是根据比较DLL的时间戳和绑定导入表中的记录的DLL时间戳来判断的,如果不一致,说明DLL被修改了。 加载程序时,操作系统根据导入表中的时
easyui的eas-text绑定输入时监听值变化 提供两种方式,亲测可用
10-26
自己花了 一晚上搞出来的,没有找到合适的,最后自己根据观看博客的总结,做了此demo 下载运行即可
WPF绑定实例详解
09-04
4. **MultiBinding**:允许将多个值绑定到单个属性,通常配合`IMultiValueConverter`使用,以处理多个输入并返回一个结果。例如,你可能有多个值(如价格和数量),并希望显示总价。 此外,还有其他重要的绑定属性...
JavaScript动态绑定详解
10-19
在JavaScript中,事件绑定通常用于响应用户的操作,例如点击按钮、输入文本等。然而,当元素是动态生成的,即在页面加载完成后通过JavaScript创建,常规的事件绑定方式可能无法正常工作,因为这些元素在页面初始化时...
双向绑定mvvm databinding
11-04
例如,在一个文本输入框中,用户输入的数据能够立即反映到数据模型中,同时,如果模型中的数据发生变化,输入框的内容也会自动更新。 实现双向绑定的关键在于`<data>`标签和`android:databinding`属性。在XML布局...
关于绑定导入表
abns44296的博客
03-24 760
0x01 绑定导入表概念 绑定导入表(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录表就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入表并将相关DLL映射到进程空间地址。然后通过遍历IA...
13.PE文件之绑定导入表(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3892
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入表,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT表的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入表定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
PE文件学习笔记(五):导入表、IAT、绑定导入表解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入表(Import Descriptor)结构解析:导入表是记录PE文件中用到的动态连接库的集合,一个dll库在导入表中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入表即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
vue表单输入绑定
m0_51281306的博客
04-12 1357
v-model 指令 • 用于给 <input> 、<textarea> 及 <select> 元素设置双向数据 绑定。 • 首先我们来体验一下双向数据绑定的效果。 输入绑定 表单数据绑定 输入绑定输入框分为单行输入框 input 与多行输入框 textarea。 单选按钮绑定 表单数据绑定单选按钮绑定 • 单选按钮的双向数据绑定方式如下 复选框绑定 表单数据绑定复选框绑定 • 复选框...
表单输入绑定
langmanboy的博客
05-24 1335
表单输入绑定 1. 双向绑定 数据的绑定,无论是使用插值表达式 {{}} 还是 v-text 指令,对于数据间的交互都是单向的,只能将 Vue 实例里定义的值传递给页面,页面数据的任何操作无法传递给 model 1-1 v-model使用 可以用 v-model 指令在表单 <input>、<textarea> 及 <select> 元素上创建双向数据绑定。它会根据控件类型自动选取正确的方法来更新元素 v-model 是语法糖,默认情况下相当于 :value 和 @inp
vue ---表单输入绑定
xiaoxiaoxianren的博客
10-09 116
v-model 指令在表单 input textarea select元素上创建双向数据绑定 , 他会根据控件类型自动获取正确的放大来更新元素, text和textarea元素适应value属性和input事件 checkbox和我radio使用checked属性和change事件 select字段将value作为prop并将唱歌作为事件 修饰符 .lazy 转变为使...
Vue 教程(9)—— 表单输入绑定
读万卷书,行万里路
06-08 591
1 基础用法 你可以用 v-model 指令在表单 &lt;input&gt; 及 &lt;textarea&gt; 元素上创建双向数据绑定。它会根据控件类型自动选取正确的方法来更新元素。尽管有些神奇,但 v-model 本质上不过是语法糖。它负责监听用户的输入事件以更新数据,并对一些极端场景进行一些特殊处理。 v-model 会忽略所有表单元素的 value、checked、selec...
表单输入绑定基础用法
JustinNeil的博客
08-21 222
表单输入绑定综述文本多行文本复选框单选按钮选择框 综述   可以使用v-model指令在<input>、<textarea>及select元素中创建双向数据绑定。它会根据控件类型自动选取正确的方式来更新元素。v-model本身只是语法糖。他负责监听事件以及更新数据,并对一些极端情况做一些特殊处理。    v-model会忽略所有表单元素的value、check、selec...
微信小程序如何绑定输入完成事件
最新发布
03-25
在微信小程序中,可以使用`<input>`标签的`bindconfirm`属性来绑定输入完成事件。该事件会在用户输入完成后触发。 示例代码如下: ``` 请输入内容" bindconfirm="onConfirm" /> ``` 在上面的示例中,我们为`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值