PE格式----目录----导入表

最新推荐文章于 2024-08-12 23:12:04 发布
最新推荐文章于 2024-08-12 23:12:04 发布
阅读量543 收藏
点赞数 1
分类专栏: PE文件格式 文章标签: windows pe文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/122613815
版权
本文详细解析了PE文件中的导入表结构,包括IMAGE_IMPORT_DESCRIPTOR、IMAGE_THUNK_DATA及IMAGE_IMPORT_BY_NAME等关键结构。介绍了这些结构如何组织和存储导入模块的信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导入模块数组

导入表是一个IMAGE_IMPORT_DESCRIPTOR数组, 长度是14h,并且以14h字节的“0”作为数组结尾。每个模块对应一个IMAGE_IMPORT_DESCRIPTOR结构。( WinNt.h)。

struct _IMAGE_IMPORT_DESCRIPTOR {
    +0h union {
        DWORD   Characteristics;
        DWORD   OriginalFirstThunk;       //IMAGE_THUNK_DATA数组的RVA,导入函数数组      
        } DUMMYUNIONNAME;
    +4h DWORD   TimeDateStamp;            //一般为空
    +8h DWORD   ForwarderChain;         
    +ch DWORD   Name;                    //导入模块名的RVA
    +10h DWORD   FirstThunk;              
} IMAGE_IMPORT_DESCRIPTOR;

FirstThunk在磁盘中它指向的位置跟OriginalFirstThunk是一样的,同样是指向IMAGE_THUNK_DATA数组。如果PE文件被加载进内存,FirstThunk指向的IMAGE_THUNK_DATA数组中的Function保存的就是真实内存中的函数地址,OriginalFirstThunk指向的同样是IMAGE_THUNK_DATA数组,但是保存的并不是真实内存中的函数地址,而是IMAGE_IMPORT_BY_NAME数组的RVA,保存的是导入函数的函数名。

加载前:

加载后:

 

导入函数数组

长度4h,以4h字节的0作为数组结尾。

struct _IMAGE_THUNK_DATA32{
    union {
       DWORD ForwarderString    //只有当IMAGE_IMPORT_DESCRIPTOR中的ForwarderChain有值时,它才有效
       DWORD Function           //被输入的函数的内存地址,只有在载入内存中时才有效
       DWORD Ordinal            //导入函数的序号,只有当IMAGE_THUNK_DATA的最高位是1的时候才有效
       DWORD AddressOfData      //当IMAGE_THUNK_DATA的最高位为0的时候有效,高位为0则指向IMAGE_IMPORT_BY_NAME结构体数组
    }u1;
}IMAGE_THUNK_DATA32;

x64系统内结构为:

struct _IMAGE_THUNK_DATA64{
    union {
       ULONGLONG ForwarderString    //只有当IMAGE_IMPORT_DESCRIPTOR中的ForwarderChain有值时,它才有效
       ULONGLONGFunction            //被输入的函数的内存地址,只有在载入内存中时才有效
       ULONGLONGOrdinal             //导入函数的序号,只有当IMAGE_THUNK_DATA的最高位是1的时候才有效
       ULONGLONGAddressOfData       //当IMAGE_THUNK_DATA的最高位为0的时候有效,高位为0则指向IMAGE_IMPORT_BY_NAME结构体数组
    }u1;
}IMAGE_THUNK_DATA64;

函数名数组

struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;                //函数在所在的dll的输出表中的序号                 
    BYTE    Name[1];            //要输入的函数的函数名
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

———————————————————————————————————————————

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

PE文件导入详解
只为改变自己
05-03 1226
PE导入详解
pe-parse:原理轻巧的CC ++ PE解析器
05-12
这意味着它应该能够抵抗格式错误或恶意制作的PE文件,并且应该支持分析软件会询问可执行程序容器的问题。 例如,列出重定位,描述导入和导出,并支持从虚拟地址读取字节以及文件偏移量。 pe-parse通过提供用于以下...
PE文件结构(三) 输入
weixin_34334744的博客
06-15 229
PE文件结构(三) 參考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输入     输入函数,示被程序调用可是它的代码不在程序代码中的,而在dll中的函数。对于这些函数。磁盘上的可执行文件仅仅是保留相关的函数信息,如函数名,dll文件名称等。在程序执行前。程序是没有保存这些函数在内存中的地址。当程序执行起来...
PE格式详细讲解7 - 系统篇07|解密系列
weixin_33709364的博客
05-26 227
PE格式详细讲解7-系统篇07 让编程改变世界 Change the world by program 捷径并不是把弯路改直了,而是帮你把岔道堵上! 走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇! 岔路会将你引入万劫不复的深渊,并越走越深…… 在开始讲解输入导入)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前...
关于PE文件——输入
chfsuihan的专栏
01-04 995
什么是输入? 输入就相当于exe文件与DLL文件沟通的桥梁,形象的可以比喻成两个城市之间交流的高速公路。在PE文件映射到内存后,windows将相应的DLL文件装入,EXE文件通过“输入”找到相应的DLL中的导入函数,从而完成程序的正常运行。 输入的组成与工作原理? 首先大概了解整体的结构: 三个:         ①输入: 对应IMAGE_IMPORT_
PE文件详解五:PE详解之输入导入)详解1
weixin_34192732的博客
01-11 268
首先,我们知道PE 文件中的数据被载入内存后根据不同页面属性被划分成很多区块(节),并有区块(节)的数据来描述这些区块。这里我们需要注意的问题是:一个区块中的数 据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。例如输入、输出等就有可能和只读常量一起被放在同一个区块中,因为他们的属性都是可 读不可写的。    其次,由于不同用途的数据有可能被放入同一个区块中,因此仅仅依靠区块...
pedump_src.rar_PE格式_Pe-file_infector_pe_pe dump_pedump
09-19
4. 导入和导出:PE文件可以包含导入和导出,用于指定文件依赖的其他函数和库(导入),以及对外提供的函数和服务(导出)。 5. 资源:这部分包含了如图标、菜单、对话框和字符串等用户界面相关的资源。 "Pe-file...
CheckPE.rar_Pe-file_infector_pe
09-22
1. **PE文件格式**:解释PE文件的结构,包括DOS头、PE头、节区、导出和导入等。 2. **恶意软件感染机制**:讲解如何识别和理解PE文件被病毒感染的标志,如异常的节区大小、隐藏的代码段或篡改的入口点。 3. **反...
checkPE.rar_Pe-file_infector_pe
09-22
深入探讨一下,PE文件结构包含了许多重要的部分,如DOS头、NT头、节区导入/导出、资源等。checkPE程序可能检查以下内容: 1. **DOS头**:这是PE文件的起点,包含了一个简短的DOS程序,允许在不支持PE格式的...
PE结构->【输入】工具包
06-21
- 显示PE文件导入信息,列出所有导入的DLL和函数。 - 查找并修改IAT,允许你改变函数调用的目标。 - 动态或静态解析导入,处理延迟导入等复杂情况。 - 可能还包括创建、删除和重排序导入的功能。 在使用这样的...
windows逆向之PE文件输入
最新发布
m0_57836225的博客
08-12 1186
然后通过 `dosHeader->e_lfanew` 计算出 `IMAGE_NT_HEADERS` 的偏移地址,并将其与 `baseAddress` 相加,再强制转换为 `PIMAGE_NT_HEADERS` 类型的指针 `ntHeaders`。`e_lfanew` 是 `IMAGE_DOS_HEADER` 结构中的一个成员。所以 `dosHeader->e_lfanew` 示获取 `dosHeader` 所指向的 `IMAGE_DOS_HEADER` 结构中的 `e_lfanew` 成员的值。
PE文件输入获取过程
enyblock的专栏
08-01 3463
1.    首先给出这个PE文件的一些16进制代码 dos头的最后一个变量给出PE头的地址:000000E0,由于import table 的数据目录项相对PE头的偏移为80h,故输入的数据目录项在文件中的偏移为00000160 查看00000160偏移地址所对应的内容,前四个字节, 0000C7AC为IMAGE_IMPORT_DESCRIPTOR在内存中的RVA,此时,我
PE文件:(3)导入
weixin_43972499的博客
04-07 491
导入导入的概念导入的结构手动加载导入参考代码 导入的概念   可执行文件在进行加载时,需要导入一些动态库,即Dll文件。通过导入这些动态库,我们可以使用文件中提供的函数和功能,来为我们的可执行文件服务。这些Dll中的函数就称为导入函数。为了记录需要的动态库和导入函数,可执行文件在可选头的数据目录中维护了一张,这张记录了文件需要的所有动态库以及导入函数的信息,方便Windows加载器在加载PE文件时使用。这张就是所谓的导入,它被存储在数据目录的第二项。   可执行文件在使用动态库中的函数和代
PE基础2-导出-导入
weixin_30693683的博客
06-25 268
PE基础2 怎么找到Nt头? (PIMAGE_NT_HEADER)(DOS.e_lfanew + (DWORD)m_pBuff) 怎么找到第一个区段? 区段头位置 = pNt + 4 + 文件头的大小 + 扩展头大小 IMAGE_FIRST_SECTION() 区段中的VirtualAddress字段保存的是什么?PointToRawData呢? VirtualAddd...
PE文件详解(六)
Masimaro的专栏
03-21 3137
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节和数据目录,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录进行索引和通过节进行索引都是可以找到的,也可以这么说,同一个数据在节和数据目录中都有一份索引值,那么这两个有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
IAT详解
cay22的专栏
02-05 8129
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
IMAGE_IMPORT_DESCRIPTOR结构
Ghjhfssfgk的博客
01-28 1118
IMAGE_IMPORT_DESCRIPTOR结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { DWORD OriginalFirstThunk; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThunk; } IMAGE_IMPORT...
《逆向工程核心原理》学习笔记(五):64位 & Windows 内核6
闵行小鱼塘
05-24 1737
继续学习《逆向工程核心原理》,本篇笔记是第五部分:64位 & Windows 内核6
PE文件结构详解(四)PE导入
zdwcmy的专栏
06-17 475
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值