导入表解析,IAT表解析【滴水逆向三期53笔记】

最新推荐文章于 2023-09-05 11:03:08 发布
最新推荐文章于 2023-09-05 11:03:08 发布
阅读量814 收藏 6
点赞数 2
分类专栏: PE文件结构学习 文章标签: windows 安全 c++ 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/129892809
版权

我们再上一章节简要介绍了IAT表,我们知道如果程序调用dll中的函数时,必须通过IAT表来找到函数,我们基本了解了IAT表之后,我们今天来讲解一下导入表,通过本章节的学习,我们可以了解导入表,也能对IAT表有一个更深入的了解。

文章目录

一.导入表是什么?

我们可以将导入表比作餐厅的菜单,而dll中函数的地址,就可以被比作为菜单上的菜品。
也就是说,导入表记录了dll中的函数名称和地址,exe在调用dll中的函数的时候,就可以通过导入表来找到函数。这里注意区分导入表和IAT表,IAT表是exe在调用dll中的函数时,通过IAT表中记录的地址来找到函数,而导入表记录了dll的名称,还有dll中函数的地址和名称(也有函数的导出序号)。
那么我们来看看导入表的结构:

typedef struct_IMAGE_IMPORRT_DESCRIPTOR{
	union{
	DWORD Characteristics;
	DWORD OriginaFirstThunk;//指向IMAGE_THUNK_DATA(输入名称表)结构数组的RVA
	}
	DWORD TimeDateStamp;//时间戳(当可执行文件不与被输入的DLL进行绑定时,此字段为0)
	DWORD ForwarderChain;//第一个被转向的API索引
	DWORD Name;//指向被输入的DLL的名称字符串的第一个字符RVA
	DWORD FirstThunk;//指向输入地址表(IAT表)的RVA,IAT是一个IMAGE_THUNK_DATA结构的数组
}IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPOTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

解析:
该导入表结构中:
OriginaFIrstThunk中存储的是一个地址,指向IMAGE_THUNK_DATA(导入名称表)该表中记录了导入函数的名称,也被叫做INT表,该表的结束标志和很多表一样:最后一张表的数据全为0。
Name中存储的是指向该dll文件名的RVA
FirstThunk中存储的是该文件的IAT(import address table)表的RVA,因为导入表和IAT表都和调用的dll文件中的函数有密切关系,所以他俩总是在一起,该表的结束标志和很多表一样:最后一张表的数据全为0。
找到IAT表有两种方式:一种是通过数据目录的第13个项目的VirtualAddress找到,另一种方式是通过导入表的FirstTrunk找到
我们知道一个程序可能调用了很多dll文件,所以导入表也不只一张,VirtualAddress(数据目录中的第二个元素为导入表) 指向多个一样的导入表结构。

二.导入表详解

我们想要了解导入表,必须通过程序运行前和程序运行中两种状态来了解,也就是程序未被加载前和程序和调用的dll都被加载到独立4GB空间两种状态下:
我们给出图来帮助我们理解:
程序未被加载前:
程序运行前
我们可以很清楚地观察到,在程序未被加载前,INT(导入名称表)和IAT(导入地址表)中存储的地址都指向同一个地方:该处存储了函数名称字符串或函数导出序号,我们在上一章中也在程序二进制文件中观察到存储了MessageBoxA(上一章节存储了MessageBoxA是因为我写的程序调用了MessageBox函数),那么我们如何判断INT(导入名称表)中的元素到底是函数导出名称还是导出序号呢?
这里给出判断INT表中某一项方法:
在INT(导入名称)表中,若该项最高位为1,那么去除最高位,剩下的就是该函数的导出序号
若该项最高位为0,那么这一项就是RVA,指向IMAGE_TRUNK_BY_NAME。

typedef struct _IMAGE_THUNK_DATA32 {						
    union {						
        PBYTE  ForwarderString;						
        PDWORD Function;						
        DWORD Ordinal;						 //序号
        PIMAGE_IMPORT_BY_NAME  AddressOfData;//指向IMAGE_IMPORT_BY_NAME
    } u1;						
} IMAGE_THUNK_DATA32;						
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;						
						
						
typedef struct _IMAGE_IMPORT_BY_NAME {						
    WORD    Hint;						//可能为空,编译器决定 如果不为空 是函数在导出表中的索引
    BYTE    Name[1];				    //函数名称,以0结尾
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

IMAGE_IMPORT_BY_NAME 中的 Name 并不只有 1 个字节,而是一直遍历到元素为 ‘\0’ 为止,OriginalFirstThunk 和 FirstThunk 的遍历 具体详见下图(这俩的遍历都一样的,其实都是遍历的 IMAGE_THUNK_DATA)。
IMAGE_TRUNK_DATA

程序和调用的dll被加载后:
我们来思考一个问题:既然INT表和IAT表都指向同一个地方,那么我们为什么需要两张表呢?
我们再上一章简单解析了IAT表,我们知道程序在调用dll中的函数时,要通过IAT表来间接寻址,如果只用一张表的话,在程序被加载后,IAT表中的项目被改为函数地址,那么程序不就不知道函数名称了吗?这就是为什么要有INT表和IAT表的原因。
程序加载后
我们可以观察到:在程序和调用的dll被加载后,IAT表中的项目不再指向函数名称,通过上一章节的简析,我们知道它指向了函数被加载后的真正地址,当程序调用函数时,通过IAT表就可以找到函数真正的位置了。
IAT 表在文件加载完成后系统会调用 GetProcAddress() 函数,就是做的我们前面写过的根据导出表函数序号或函数名字找到函数地址的功能。系统会循环 INT 表,根据表内的名字或序号调用 GetProcAddr() 得到地址,依次添加到 IAT 表中。
注意 IMAGE_IMPORT_BY_NAME 中的 Hint 不是导出序号,而是当前这个函数在导出表函数地址表中的索引。但基本没用,所以不一定是准确的,可以全部为0。而Name并不是一字节,而是以’\0’结尾的不定长字符串。

三.打印一个程序的导入表的信息(作业思路)

这里先给出基本思路(这里是打印程序未被加载前的导入表):
1.通过数据目录的第二项的VirtualAddress转换为FOA在文件中找到导入表
2.输出dll名(导入表中Name字段转换为FOA在文件中找到)
3.遍历OriginalFirstTrunk(OriginalFirstTrunk字段转换为FOA在文件中找到),打印导出序号或导出名称(需要转换为FOA在文件中找到)
4.遍历FirstTrunk(导入表中FirstTrunk字段转换为FOA在文件中找到)
5.找到下一张导入表,循环2,3,4,直到某张表的导入表内数据全为零结束

Shad0w-2023
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
解析导入IAT
hambaga的博客
05-21 1710
一、导入的结构 导入的结构看起来复杂,其实只是套娃,不要被它吓到了。 导入的定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
导入 IAT 比10个字多
最新发布
04-15
好的资源让我电脑爆炸!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
IATHOOK 易语言 还有PE文件格式解析 导入 导出
01-20
适合小白练习
逆向软件后,手把手教你如何修复IAT
10-31
逆向软件后,教你手把手修复IAT
iat导入hook的c++源码
09-14
iat导入hook的c++源码
滴水三期完整版(96课时)
04-20
第1讲:2015-01-12(进制01) 第2讲:2015-01-13(进制02) 第3讲:2015-01-14(数据宽度-逻辑运算03) 第4讲:2015-01-15(通用寄存器-内存读写04) 第5讲:2015-01-16(内存寻址-堆栈05) 第6讲:2015-01-19(EFLAGS寄存器06) 第7讲:2015-01-20(JCC) 第8讲:2015-01-21(堆栈图) 第8讲:2015-01-21(宝马问题) 第9讲:2015-01-22(堆栈图2) 第10讲:2015-01-23(C语言01_后半段) 第10讲:2015-01-23(C语言完整版) 第11讲:2015-01-26(C语言02_数据类型) 第12讲:2015-01-27(C语言03_数据类型_IF语句) 第13讲:2015-01-28(C语言04_IF语句逆向分析上) 第14讲:2015-01-28(C语言04_IF语句逆向分析下) 第15讲:2015-01-29(C语言04_正向基础) 第16讲:2015-01-30(C语言05_循环语句) 第17讲:2015-02-02(C语言06_参数_返回值_局部变量_数组反汇编) 第18讲:2015-02-02(2015-01-30课后练习) 第19讲:2015-02-03(C语言07_多维数组) 第20讲:2015-02-03(2015-02-02课后练习) 第21讲:2015-02-04(C语言08_结构体) 第22讲:2015-02-05(C语言09_字节对齐_结构体数组) 第23讲:2015-02-06(C语言10_Switch语句反汇编) 第24讲:2015-02-26(C语言11_指针1) 第25讲:2015-02-27(C语言11_指针2) 第26讲:2015-02-28(C语言11_指针3) 第27讲:2015-02-28(C语言11_指针4) 第28讲:2015-03-02(C语言11_指针5) 第29讲:2015-03-03(C语言11_指针6) 第30讲:2015-03-04(C语言11_指针7) 第31讲:2015-03-06(C语言11_指针8) 第32讲:2015-03-09(位运算) 第33讲:2015-03-10(内存分配_文件读写) 第34讲:2015-03-11(PE头解析_手动) 第35讲:2015-03-12(PE头字段说明) 第36讲:2015-03-13(PE节) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:2015-03-19(新增节添加代码) 第41讲:2015-03-20(扩大节-合并节-数据目录) 第42讲:2015-03-23(静态连接库-动态链接库) 第43讲:2015-03-24(导出) 第44讲:2015-03-25(重定位) 第45讲:2015-03-26(移动导出-重定位) 第46讲:2015-03-27(IAT) 第47讲:2015-03-27(导入) 第48讲:2015-03-30(绑定导入) 第49讲:2015-03-31(导入注入) 第50讲:2015-04-01(C++ this指针 类 上) 第51讲:2015-04-01(C++ this指针 类 下) 第52讲:2015-04-02(C++ 构造-析构函数 继承) 第53讲:2015-04-03(C++ 权限控制) 第54讲:2015-04-07(C++ 虚函数) 第55讲:2015-04-08(C++ 动态绑定-多态-上) 第56讲:2015-04-08(C++ 动态绑定-多态-下) 第57讲:2015-04-09(C++ 模版) 第58讲:2015-04-10(C++ 引用-友元-运算符重载) 第59讲:2015-04-13(C++ new-delete-Vector) 第60讲:2015-04-14(C++Vector实现) 第61讲:2015-04-15(C++) 第62讲:2015-04-16(C++实现) 第63讲:2015-04-16(C++二叉树) 第64讲:2015-04-17(C++二叉树实现) 第65讲:2015-04-20(Win32 宽字符) 第66讲:2015-04-21(Win32 事件-消息-消息处理函数) 第67讲:2015-04-22(Win32 ESP寻址-定位回调函数-条件断点) 第68讲:2015-04-23(Win32 子窗口-消息处理函数定位) 第69讲:2015-04-24(Win32 资源文件-消息断点) 第70讲:2015-04-27(Win32 提取图标-修改标题) 第71讲:2015-04-28(Win32 通用控件-VM_NOTIFY) 第72讲:2015-04-29(Win32 PE查看器-项目要求) 项目一:PE查看器 开发周期(5天) 需求文档 第73讲:2015-05-07(Win32 创建线程) 第74讲:2015-05-08(Win32 线程控制_CONTEXT) 第75讲:2015-05-11(Win32 临界区) 第76讲:2015-05-12(Win32 互斥体) 第77讲:2015-05-13(Win32 事件) 第78讲:2015-05-14(Win32 信号量) 第79讲:2015-05-15(Win32 线程同步与线程互斥) 第80讲:2015-05-18(Win32 进程创建_句柄) 第81讲:2015-05-20(Win32 以挂起形式创建进程) 第82讲:2015-05-21(Win32 加密壳_项目说明) 项目二:加密壳 开发周期(5天) 需求文档 第83讲:2015-05-28(Win32 枚举窗口_鼠标键盘事件) 第84讲:2015-05-29(Win32 CE练习) 第85讲:2015-06-01(Win32 OD练习) 第86讲:2015-06-03(Win32 ShellCode_远程线程注入) 第87讲:2015-06-04(Win32 加载EXE_模块隐藏) 第88讲:2015-06-09(Win32 IAT_HOOK) 第89讲:2015-06-10(Win32 InlineHook) 第90讲:2015-06-11(Win32 进程通信) 第91讲:2015-06-11(Win32 进程监控_项目说明) 项目三:进程监控 开发周期(5天) 需求文档 第92讲:2015-06-15(硬编码_01) 第93讲:2015-06-16(硬编码_02) 第94讲:2015-06-17(硬编码_03) 第95讲:2015-06-18(硬编码_04) 第96讲:2015-06-19(硬编码_05)
IAT入门简析【滴水逆向三期52笔记
WdIg-2023的博客
04-01 440
如果我们讲函数写在程序的源文件中,那么该函数就会被编译器直接编译到程序的二进制文件中,在程序调用该函数的时候,E8后跟的地址是直接写死的,程序直接在exe文件中找到函数,也被称为直接寻址,因为程序可以直接从自生的二进制文件中找到函数。我们知道,exe在运行的时候,会有自己独立的4GB空间,exe贴到4GB空间的时候,基本上都能按照exe文件预定的位置贴上去,但是dll文件就不一样,它每次贴的位置可能都不一样,所以MessageBox函数的地址也不一样,那程序如何调用MessageBox函数呢?
IAT详解
cay22的专栏
02-05 7786
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
滴水三期:day39.1-IAT导入
Edimade的博客
04-16 485
一、引入IAT(1.调用自己写的函数 > 2.调用DLL中的函数 > 3.易错误区)二、导入(1.导入是什么 > 2.定位导入 > 3.导入结构 > 4.IAT和INT > 5.总结)三、作业(1.打印程序运行前的导出
滴水逆向三期实践16:IAT导入
Rivival_S 的博客
11-09 2597
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
2.5 PE结构:导入详细解析
CSDN
09-05 9087
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE格式第四讲,数据目录导入,以及IAT
weixin_30682127的博客
10-13 197
           PE格式第四讲,数据目录导入,以及IAT 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶IAT(地址) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 他会Call 下边的Jmp位置 而Jmp位置...
IAT导入滴水
若面朝大海边竹妮春暖花开的博客
05-14 377
IAT 我们用OD查看程序中调用API时是4070BC中存储的值 4070BC中存储的是一个函数地址,这个地址是一个dll提供的空间 文件对齐和内存对齐相同 我们在文件中查看70bc调用的地址是7604 7604中存储的是MessageBox,是函数名称 可以看出程序运行前和运行后不同 是使用了动态链接库,动态链接库只有在程序运行时才会加载到程序中 如果调用是我们自己写的程序,地址都是写死的 为了防止dll文件重定位,所以调用dll中函数时不能将地址直接确定 所有dll加载完后,在确定地址 导入
输入IAT
m0_57929980的博客
10-24 563
输入IAT
PE导入IAT的原理及工作关系
qq_35289660的博客
07-14 4548
PE导入IAT的原理及工作关系 文章目录PE导入IAT的原理及工作关系0.说明1.PE导入IAT大致工作关系(1)为什么会有IAT(2)为什么会有导入2.导入IAT的真正关系(原理)(1)OriginalFirstThunk(2)Name(3)FirstAddress3.C语言解析导出(1)建议(2)C源代码4.移动导出到新增节区(1)流程(2)我遇到的困难(3)C源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水
PE文件学习笔记(五):导入IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
IAT
crkres9527
09-27 603
A、初识IAT     B、IAT相关结构     C、读出IAT项     D、编写代码测试分析       E、HOOK IAT     F、测试分析 A、认识IAT 导入函数 B、IAT相关结构 PIMAGE_DOS_HEADER //->e_lfanew //PE文件头偏移值 PIMAGE_NT_HEADERS //->OptionalHeade...
PE文件解析(4):导入解析
ylh的博客
11-01 813
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
输出pe文件(dll、exe等)依赖的dll、导入、实验代码
why_are_you_so的博客
03-25 317
DOS头,NT头,节以及具体节DOS头结构体:IMAGE_DOS_HEADER,其中e_lfanew指明了NT头位置,相关结构体都能在 winnt.h 看到。NT头结构体:IMAGE_NT_HEADERS32关注中的ImageBase及成员ImageBase:映象(加载到内存中的PE文件)的基地址,这个基地址是建议,对于DLL来说,如果无法加载到这个地址,系统会自动为其选择地址。一些指令的操作数跟此地址在同一个地址空间。:一个IMAGE_DATA_DIRECTORY数组,指向了导入,导出
windowsIAT
07-28
Windows操作系统中的IAT(Import Address Table,导入地址)是用于动态链接库(DLL)的函数导入和调用的重要数据结构之一。它存储了DLL中需要被调用的函数的地址,使得在程序运行时可以动态地解析和调用这些函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值