PE_导入表

最新推荐文章于 2023-09-05 11:03:08 发布
最新推荐文章于 2023-09-05 11:03:08 发布
阅读量111 收藏
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/127039068
版权

参考:Revival_S
头文件:

// toolfunc.h
DWORD toLoardPE(PVOID* pFileBuffer, PSTR file_path){
	FILE *fp;
	DWORD FileSize;
	PVOID pFileBufferTemp;

	fp = fopen(file_path, "rb");
	if(!fp){
		printf("读取文件失败!\n");
		return 0;
	}
	fseek(fp, 0, SEEK_END);
	FileSize = ftell(fp);
	fseek(fp, 0, SEEK_SET);
	
	pFileBufferTemp = malloc(FileSize);
	if(!pFileBufferTemp){
		printf("读取文件开辟内存失败\n");
		return 0;
	}

	DWORD n = fread(pFileBufferTemp, FileSize, 1, fp);

	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;
	fclose(fp);

	return FileSize;
}

DWORD Align(int add, int alignment){
	if(add % alignment == 0){
		return add;
	}
	return ((add / alignment) + 1) * alignment;
}

DWORD Rva2Foa(PVOID pFileBuffer, DWORD dwRva){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if(!pFileBuffer){
		printf("从磁盘读取文件为空!\n");
		return 0;
	}

	if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE){
		printf("(Rva2Foa)没有MZ标志!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	if(*(PDWORD)((DWORD)pDosHeader + pDosHeader->e_lfanew) != IMAGE_NT_SIGNATURE){
		printf("(Rva2Foa)没有PE标志!\n");
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	PIMAGE_SECTION_HEADER pNextSectionHeaderTemp = pSectionHeader + 1;


	if(dwRva <= pOptionHeader->SizeOfHeaders){
		return dwRva;
	}else{
		for(int n=1; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++, pNextSectionHeaderTemp++){
			if((dwRva >= pSectionHeaderTemp->VirtualAddress) && (dwRva < (pNextSectionHeaderTemp->VirtualAddress)))
				return dwRva - pSectionHeaderTemp->VirtualAddress + pSectionHeaderTemp->PointerToRawData;
		}
	}
	if (dwRva >= pSectionHeaderTemp->VirtualAddress && dwRva < pOptionHeader->SizeOfImage)
	{
		return pSectionHeaderTemp->PointerToRawData + dwRva - pSectionHeaderTemp->VirtualAddress;
	}
	printf("RVA TO FOA Failed!\n");

	return 0;
}

主程序:

#include<stdio.h>
#include<windows.h>
#include "toolfunc.h"

PSTR file_path = "C:\\Users\\lolol\\Desktop\\3.exe";

int main(){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
	PIMAGE_BASE_RELOCATION pRelocationTable = NULL;
	PIMAGE_IMPORT_DESCRIPTOR pImportTable = NULL;

	PIMAGE_IMPORT_BY_NAME pImportByName = NULL;

	PVOID pFileBuffer = NULL;
	BYTE zero[sizeof(IMAGE_IMPORT_DESCRIPTOR)] = {0};

	DWORD FileSize = toLoardPE(&pFileBuffer, file_path);
	printf("读入文件大小:%x\n",FileSize);

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pFileBuffer + pDosHeader->e_lfanew + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);

	pDataDirectory = pOptionHeader->DataDirectory;
	

	pDataDirectory = pDataDirectory + 1; // 重定位表的目录表
	printf("导入表的地址:%#x\n",pDataDirectory->VirtualAddress);
	if(!pDataDirectory->VirtualAddress){
		printf("没有导入表\n");
		return 0;
	}
	pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pFileBuffer + Rva2Foa(pFileBuffer, pDataDirectory->VirtualAddress));	

	// 遍历所有导入表
	for(size_t i=0; memcmp(zero, pImportTable, sizeof(zero)); i++){
		printf("==========第%2d个导入表==========\n",i);
		printf("被使用的DLL的名字:%s\n", (char*)((DWORD)pFileBuffer + Rva2Foa(pFileBuffer, pImportTable->Name)));
		printf("INT地址:%#x\n", pImportTable->OriginalFirstThunk);
		printf("时间戳:%#x\n", pImportTable->TimeDateStamp);
		printf("IAT地址:%#x\n", pImportTable->FirstThunk);

		// INT

		printf("===============INT==============\n");
		PDWORD pINTItem = NULL;
		pINTItem = (PDWORD)((DWORD)pFileBuffer + Rva2Foa(pFileBuffer, pImportTable->OriginalFirstThunk));
		for(int numINT = 0; *pINTItem; numINT++){ // 遍历每个IMAGE_THUNK_DATA			
			if((*pINTItem) & 0x80000000){// 存的是序号
				//printf("1\n");
				printf("第%d个函数的序号%#x\n", numINT, *pINTItem & 0x7fffffff);
			}else{// 存的是RVA,指向IMAGE_IMPORT_BY_NAME				
				pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)pFileBuffer + Rva2Foa(pFileBuffer, *pINTItem));				
				printf("第%d个函数的名字%#x-%s\n", numINT, pImportByName->Hint, pImportByName->Name);
			}

			pINTItem++;
		}

		// IAT
		printf("===============IAT==============\n");
		PDWORD pIATItem = NULL;
		pIATItem = (PDWORD)((DWORD)pFileBuffer + Rva2Foa(pFileBuffer, pImportTable->FirstThunk));
		for(int numIAT = 0; *pIATItem; numIAT++){ // 遍历每个IMAGE_THUNK_DATA			
			if((*pIATItem) & 0x80000000){// 存的是序号
				//printf("1\n");
				printf("第%d个函数的序号%#x\n", numIAT, *pIATItem & 0x7fffffff);
			}else{// 存的是RVA,指向IMAGE_IMPORT_BY_NAME				
				pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)pFileBuffer + Rva2Foa(pFileBuffer, *pIATItem));				
				printf("第%d个函数的名字%#x-%s\n", numIAT, pImportByName->Hint, pImportByName->Name);
			}

			pIATItem++;
		}

		pImportTable++;
	}

	

	return 0;
}
-Sw0rd-
关注
专栏目录
PE文件结构详解(五)延迟导入
evil.eagle的专栏
10-14 9402
延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使用的频率比较低,或者在某些特定的场合才会用到,而有些函数可能要在程序运行一段时间后才会用到,这些函数可以等到他实际使用的时候再去加载对应的DLL,而没必要再程序一装载就初始化好。
PE文件 - 导入
weixin_45012273的博客
11-11 1233
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件的导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE-导入
megaparsec
12-19 1859
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5332
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件解析(4):导入的解析
ylh的博客
11-01 839
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
2.5 PE结构:导入详细解析
最新发布
CSDN
09-05 1万+
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE.rar_PE导入_pe_导入
09-24
分析PE,查看PE文件导出导入
修复PE 文件导入
09-02
修复PE 文件导入的源代码,VS2003 工程
易语言导入导出PE
07-22
易语言导入导出PE源码,导入导出PE,ExportsDLLFunction,LOWORD,ImageRvaToVa,API_创建文件,API_创建文件映射对象,API_MapViewOfFile,API_UnmapViewOfFile,API_关闭内核对象
PE文件导入解析(C++)
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
PE结构导入/出 类封装
12-18
PE结构导入/出 类封装 里面有备注 调用方式 将文件导入至工程 引用头文件后 直接调用即可 ExePath 为Pe文件路径 CPE * pe = new CPE(ExePath); if (!pe->Initialize()) { MessageBox(_T("PE初始化失败")); ...
获取PE文件的导入
04-02
获取PE文件的导入中模块和API信息的源代码
PE文件学习笔记(五):导入、IAT、绑定导入解析
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
PE文件导入详解
只为改变自己
05-03 1100
PE导入详解
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE结构导入
不会写代码的丝丽
03-19 358
首先放一张PE结构 导入放在数据目录数组中,所以我们先介绍这个数组相关结构。 首先有4个字节指示这个数组大小,然后再接上数组元素。 每一项数组的结构体 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //内存的虚拟地址 DWORD Size;//大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 上面的示意义:的在VirtualAddress内存处大小为
PE文件——导入&导出&函数覆盖
Woolemon的博客
04-06 5977
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
PE文件,导入定位
一个热爱逆向,喜爱学习、分享的猿。
07-05 1497
使用16进制编辑器,在PE文件种定位到导入的过程。
PE文件(1)导入
nyzdmc的博客
03-02 722
PE文件(1)导入 概念 导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。 对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 文件被装入内存后,Windows的 加载器才将相关DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来。 这就是“动态链接”的概念。动态链接是通过PE 文件...
c++ 修正pe导入
05-16
PE导入PE文件中的一个重要部分,它记录了PE文件所依赖的外部函数和库文件。如果导入出现错误,将会导致程序无法正常运行或者崩溃。下面是修正PE导入的一些方法: 1. 使用修复工具:有一些专门的PE修复工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值