滴水逆向三期 PE基础 导入表解析

最新推荐文章于 2023-03-20 21:03:54 发布
最新推荐文章于 2023-03-20 21:03:54 发布
阅读量650 收藏
点赞数
分类专栏: windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44803739/article/details/106179104
版权

假的分析

源码
在学习这节的时候第一遍并没有弄懂到底怎么回事, 等遍历完了再回头去看才懂, 推荐可以先把表打印出来再体会表结构.

真的分析

软件依然是某云音乐的主程序.
在这里插入图片描述
在这里插入图片描述
按照顺序依次为
1 遍历 _IMAGE_IMPORT_DESCRIPTOR
2 遍历OriginalFirstThunk中的ThunkValue偏移
3 遍历打印ThunkValue(本身还是偏移)
4 遍历IMAGE_THUNK_DATA32(ThunkValue所指向的值)

1 打印重要基础数据
while (pImportDescriptor->OriginalFirstThunk)
{
	DWORD rvaFirstThunk = pImportDescriptor->FirstThunk;
	DWORD rvaOriginalFirstThunk = pImportDescriptor->OriginalFirstThunk;
	printf("RVA_OriginalFirstTunk: %2x    RVA_Name: %2x    RVA_FirstThunk: %2x\n", pImportDescriptor->OriginalFirstThunk, pImportDescriptor->Name, pImportDescriptor->FirstThunk);
	DWORD foaName = RvaDataToFoaData(pFileBuffer, pImportDescriptor->Name, FALSE);
	printf("DLL's name: %s\n", (char *)((DWORD)pFileBuffer + foaName));
	printf("-------------------------------------------------------------------------\n");
	pImportDescriptor++;
	printf("-------------------------------------------------------------------------\n");
}

在这里插入图片描述

2 3打印OriginalFirstThunk中的ThunkValue偏移及其本身(ThunkValue还是个偏移)
DWORD foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, rvaOriginalFirstThunk, FALSE);
DWORD OriginalThunkValue = *(DWORD *)((DWORD)pFileBuffer + foaOriginalFirstThunk);
printf("Show the OriginalFirstThunk:\n");
while (OriginalThunkValue)
{
	printf("RVA_OriginalFirstThunk: %2x    FOA_OriginalFirstThunk: %2x", pImportDescriptor->OriginalFirstThunk, foaOriginalFirstThunk);
	printf("    OriginalThunkValue: %2x\n", OriginalThunkValue);
}
puts("");

在这里插入图片描述

4 打印IMAGE_THUNK_DATA32(ThunkValue所指向的值)

如果最高位为1 那么去掉1之后的就是函数序号
否则该值指向_IMAGE_IMPORT_BY_NAME

struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;                 
    BYTE    Name[1];            
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

结构: 双字节的Hint 以及name的起始地址

if ((OriginalThunkValue & 0x80000000) == 0x1)
{
	DWORD ordinalOfFunction = (OriginalThunkValue & 0x7FFFFFFF);
	TODO;
}
else
{
	DWORD RVA_OFT_HintAndNameOfFunction = OriginalThunkValue;
	DWORD FOA_OFT_HintAndNameOfFunction = RvaDataToFoaData(pFileBuffer, RVA_OFT_HintAndNameOfFunction, FALSE);
	WORD hint = *(WORD *)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction);
	char * NameOfFunction = (char *)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction + 2);
	printf("RVA_OriginalThunkNameOfFunction: %2x    FOA_NameOfFunction: %2x\n", RVA_OFT_HintAndNameOfFunction, FOA_OFT_HintAndNameOfFunction);
	printf("OriginalThunkHint: %2x\nNameOfFunction: %2s\n\n", hint, NameOfFunction);
}

在这里插入图片描述

5 重复2 3 4打印FirstThunk相关
整体代码
while (pImportDescriptor->OriginalFirstThunk)
{
	DWORD rvaFirstThunk= pImportDescriptor->FirstThunk;
	DWORD rvaOriginalFirstThunk = pImportDescriptor->OriginalFirstThunk;
	printf("RVA_OriginalFirstTunk: %2x    RVA_Name: %2x    RVA_FirstThunk: %2x\n", pImportDescriptor->OriginalFirstThunk, pImportDescriptor->Name, pImportDescriptor->FirstThunk);
	DWORD foaName = RvaDataToFoaData(pFileBuffer, pImportDescriptor->Name, FALSE);
	printf("DLL's name: %s\n", (char *)((DWORD)pFileBuffer + foaName));
	printf("-------------------------------------------------------------------------\n");

	DWORD foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, rvaOriginalFirstThunk, FALSE);
	DWORD OriginalThunkValue = *(DWORD *)((DWORD)pFileBuffer + foaOriginalFirstThunk);
	printf("Show the OriginalFirstThunk:\n");
	while (OriginalThunkValue)
	{
		printf("RVA_OriginalFirstThunk: %2x    FOA_OriginalFirstThunk: %2x", pImportDescriptor->OriginalFirstThunk, foaOriginalFirstThunk);
		printf("    OriginalThunkValue: %2x\n", OriginalThunkValue);
		if ((OriginalThunkValue & 0x80000000) == 0x1)
		{
			DWORD ordinalOfFunction = (OriginalThunkValue & 0x7FFFFFFF);
			TODO;
		}
		else
		{
			DWORD RVA_OFT_HintAndNameOfFunction = OriginalThunkValue;
			DWORD FOA_OFT_HintAndNameOfFunction = RvaDataToFoaData(pFileBuffer, RVA_OFT_HintAndNameOfFunction, FALSE);
			WORD hint = *(WORD *)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction);
			char * NameOfFunction = (char *)((DWORD)pFileBuffer + FOA_OFT_HintAndNameOfFunction + 2);
			printf("RVA_OriginalThunkNameOfFunction: %2x    FOA_NameOfFunction: %2x\n", RVA_OFT_HintAndNameOfFunction, FOA_OFT_HintAndNameOfFunction);
			printf("OriginalThunkHint: %2x\nNameOfFunction: %2s\n\n", hint, NameOfFunction);
		}
		pImportDescriptor->OriginalFirstThunk += 4;
		foaOriginalFirstThunk = RvaDataToFoaData(pFileBuffer, pImportDescriptor->OriginalFirstThunk, FALSE);
		OriginalThunkValue = *(DWORD *)((DWORD)pFileBuffer + foaOriginalFirstThunk);
	}
	puts("");

	DWORD foaFirstThunk = RvaDataToFoaData(pFileBuffer, rvaFirstThunk, FALSE);
	DWORD FirstThunkValue = *(DWORD *)((DWORD)pFileBuffer + foaFirstThunk);
	printf("Show the FirstThunk: \n");
	while (FirstThunkValue)
	{
		printf("RVA_FirstThunk: %2x            FOA_FirstThunk: %2x", rvaFirstThunk, foaFirstThunk);
		
		printf("            FirstThunkValue: %2x\n", FirstThunkValue);
		if ((FirstThunkValue & 0x80000000) == 0x1)
		{
			DWORD ordinalOfFunction = (FirstThunkValue & 0x7FFFFFFF);
			TODO;
		}
		else
		{
			DWORD RVA_FT_HintAndNameOfFunction = FirstThunkValue;
			DWORD FOA_FT_HintAndNameOfFunction = RvaDataToFoaData(pFileBuffer, RVA_FT_HintAndNameOfFunction, FALSE);
			WORD hint = *(WORD *)((DWORD)pFileBuffer + FOA_FT_HintAndNameOfFunction);
			char * NameOfFunction = (char *)((DWORD)pFileBuffer + FOA_FT_HintAndNameOfFunction + 2);
			printf("RVA_FirstThunkNameOfFunction: %2x    FOA_FirstThunkNameOfFunction: %2x\n", RVA_FT_HintAndNameOfFunction, FOA_FT_HintAndNameOfFunction);
			printf("FirstThunkHint: %2x\nFirstThunkNameOfFunction: %2s\n\n", hint, NameOfFunction);
		}
		pImportDescriptor->FirstThunk += 4;
		foaFirstThunk = RvaDataToFoaData(pFileBuffer, pImportDescriptor->FirstThunk, FALSE);
		FirstThunkValue = *(DWORD *)((DWORD)pFileBuffer + foaFirstThunk);
	}
	puts("");

	pImportDescriptor++;
	printf("-------------------------------------------------------------------------\n");
}
最终结果

在这里插入图片描述

真的分析

ps: 为了方便分析程序用的视频同款Messagebox函数…
在这里插入图片描述

导入表中最重要的三个数据OriginalFirstThunk Name FirstThunk, 名字没什么好说的.

OFT FT 分为PE加载前和加载后, 分别存放Immpor Name Table与 Import Address Table
但是里面在PE加载前即二进制文件是一模一样的 真正产生区别的在于PE加载后.
在这里插入图片描述
在这里插入图片描述
OD中看到 [40203C]直接指向了函数地址

这里发生改变的原因是加载PE文件后系统会遍历INT并调用GetProcAddress得到函数地址复制到IAT中.

一些问题

为什么要有两个表?
第一个原因是如果直接在IAT中写入地址没有INT那么想要获取函数名字就有困难, 相当于给api备份.
我自己想的是每个电脑的地址不一样 每次动态加载需要依靠函数名字来获取. 保证在不同的机器上运行
老师讲学了下个表才能讲第二个原因, 学完回来更新.

学完本节, 最大的感悟就是预习, OFT和FP困扰我挺久, 其实先把表遍历出来的就是在预习, 当自己能先把表遍历完, 再去理解内容就变得很清晰.

在这里插入图片描述
ps: 建了个学习讨论群, 欢迎新朋友加入:1094301686

四位
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
滴水逆向三期课件(全)
11-20
滴水逆向初级班三期课件,全套包括 EXE 练手文件 配套电子书 推荐下载绝对不亏!!
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
利用PE数据目录的导入获取函数名及其地址
编程菜鸟---正在努力进阶
06-24 6643
PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件签名(“PE00"字符串),紧接着是20字节的IMAGE_FILE_HEADER结构,它的后面是224字节的IMAGE
滴水逆向三期实践17:导入注入
Rivival_S 的博客
11-10 2330
在动态链接库一章提到DllMain,这里再回顾一次 当dll被加载进4GB空间时,会调用一次DllMain(入口方法) 当程序执行完了要把dll从4GB空间被卸载,也会调用一次DllMain 注入的本质就是想方设法把自己的dll扔到别人进程的4GB空间里 而前面导入一章在最后提到,只有在PE文件内隐式调用(静态使用)时才会在调用者PE文件的导入内出现该 dll 的名字和相关函数,若为显示调用(动态使用),则这个被调用的dll名和相关函数不会在调用者导入内出现。 那么反过来也就是说,写
滴水逆向三期实践16:IAT导入
Rivival_S 的博客
11-09 2590
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
小甲鱼PE详解之输入导入)详解2(PE详解08)
wanghongxueluoyang的博客
12-24 496
在此之前,我们已经对这个输入进行了一些实践和理解,这有助于大家对这个概念更进一步的加深认识。小甲鱼觉得,越是复杂的问题我们应该越是去动手操作它,认识它,这样才容易熟悉它! 在上一节课我们像小鹿一样的乱撞,终于撞到了输入里边包含的函数名称,嘿嘿,不过地址,我们还是没能找着……这节课我们将深入来剖析输入的结构,通过结合实例分析来帮助大家理解输入的工作原理。输入结构 回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期课件(全套)
03-25
滴水全套课件配合视频讲解,高效学习,下载就不亏!!
PE格式----目录----导入
一个热爱逆向,喜爱学习、分享的猿。
01-21 466
导入模块数组 导入是一个IMAGE_IMPORT_DESCRIPTOR数组, 长度是14h,并且以14h字节的“0”作为数组结尾。每个模块对应一个IMAGE_IMPORT_DESCRIPTOR结构。( WinNt.h)。 struct _IMAGE_IMPORT_DESCRIPTOR { +0h union { DWORD Characteristics; DWORD OriginalFirstThunk; //IMAGE_THUNK_DA
滴水逆向三期-fileBuffer_imageBuffer
tscg_的博客
03-20 436
本文详细介绍了一个PE文件从FileBuffer到ImageBuffer的具体过程
滴水逆向总纪录
v_3483608762的博客
12-02 1721
滴水逆向从指针开始前言一.滴水逆向指针21 列出每一行的反汇编代码:2、列出每一行的反汇编代码:3、完成代码,实现数组值的互换 前言 今天才用到这种模版,以后就用这种方法记录了。也好看也好写也连贯。
PE结构详解
weixin_44870554的博客
12-09 708
PE文件结构 PE文件是portable File Format(可移植文件)的简写 PE的解释:PE文件是指某一种格式的文件 比如可执行文件(exe) 动态链接库文件(dll) 驱动文件(sys)等 PE文件大概分为两部分:头与主体 两部分会在内部进行细分 PE格式文件的组成: DOS头部: 为兼容DOS程序设立 NT头部 : 存储PE文件的全部属性 初始化信息等 区段头: 对于PE文件...
汇编笔记【滴水逆向
m0_58213960的博客
01-12 4575
汇编笔记【滴水逆向
滴水逆向学习笔记
BL_zshaom的博客
12-05 517
我是小菜鸡,咯咯咯!!!
二进制
diaokuang7618的博客
11-01 126
机器数: 机器数是带符号的,在计算机用一个数的最高位存放符号, 正数为0, 负数为1。 真值: 因为第一位是符号位,所以机器数的形式值就不等于真正的数值。例如上面的有符号数 10000011,其最高位1代负,其真正数值是 -3 而不是形式值131(10000011转换成十进制等于131)。所以,为区别起见,将带符号位的机器数对应的真正数值称为机器数的真值。 原码: 用第一位...
WINDOWS+PE权威指南读书笔记(5)
沐一 · 林 的博客
10-02 280
PE中的导入 Windows 加载器在运行 PE 时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址。在数据目录中一共有四种类型的数据与导入数据有关。 这四种数据依次为: 口导入导入函数地址 口绑定导入 口 延迟加载导入 导入的概念: Windows API 函数,这些代码存储在 DLL 文件,即动态链接库中。在动态链接库里存放的不是函数的源代码,而是编译链接以后生成的字节码。 看下面的两个调用语句: invoke Mes
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
最新发布
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

四位

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值