本文详细介绍了如何使用16进制编辑器在PE文件中定位并解析导入表的过程,包括查找MZ文件头、PE文件头、可选头、IMAGE_DATA_DIRECTORY数组以及如何确定导入表所在的节和文件偏移,最终定位到导入表及其内部结构,如IMAGE_IMPORT_DESCRIPTOR、IMAGE_THUNK_DATA和IMAGE_IMPORT_BY_NAME等。
使用16进制编辑器,在PE文件种定位到导入表的过程。
1. 前64字节MZ文件头,最后的4个字节是PE文件头的位置。
2. 找到PE文件头。
3. PE文件头第24字节偏移处是可选头。
4. 可选头0x70偏移处是IMAGE_DATA_DIRECTORY数组
5. 该数组长64字节,第二个元素为导入表的IMAGE_DATA_DIRECTORY
6. 导入表的IMAGE_DATA_DIRECTORY的前32位是导入表的RVA
7. 查节表确定导入表在哪个节,然后利用节表获得导入表的文件偏移
8. 定位到导入表
9. 导入表为一个IMAGE_IMPORT_DESCRIPTOR数组,每个被导入的文件对应一项,定义如下:
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
DWORD OriginalFirstThunk;
DWORD TimeDateStamp;
DWORD ForwarderChain;
DWORD Name;
DWORD FirstThunk;
}IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR;
成员含义如下:
OriginalFirstThunk
它指向first thunk,IMAGE_THUNK_DATA,该thunk拥有Hint和Function name的地址。
TimeDateStamp
如果那里有绑定的话它包含时间/数据戳(time/data stamp)。如果它是0,就没有绑定在被导入的DLL中发生。在最近,它被设置为0xFFFFFFFF以表示绑定发生。
ForwarderChain
在老版的绑定中,它引用API的第一个forwarder chain(传递器链表)。它可被设置为0xFFFFFFFF以代表没有forwarder。
Name
它表示DLL 名称的相对虚地址(译注:相对一个用null作为结束符的ASCII字符串的一个RVA,该字符串是该导入DLL文件的名称,如:KERNEL32.DLL)。
FirstThunk
它包含由IMAGE_THUNK_DATA定义的 first thunk数组的虚地址,通过loader用函数虚地址初始化thunk。在Orignal First Thunk缺席下,它指向first thunk:Hints和The Function names的thunks。
10. 从Name成员可以得到被导入文件名的RVA,利用节表可以获得文件偏移,可以看到被导入文件的名称。
11. 从OriginalFirstThunk可以得到IMAGE_THUNK_DATA结构数组的RVA,利用节表得到其文件偏移。IMAGE_THUNK_DATA结构定义为:
typedef struct _IMAGE_THUNK_DATA32 {
PIMAGE_IMPORT_BY_NAME AddressOfData;
} IMAGE_THUNK_DATA32;
12. 从中得到IMAGE_IMPORT_BY_NAME结构的RVA,利用节表得到文件偏移。IMAGE_IMPORT_BY_NAME结构定义为:
typedef struct _IMAGE_IMPORT_BY_NAME {
WORD Hint;
BYTE Name[1];
}IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
成员含义如下:
Hint
指示本函数在其所驻留DLL的引出表中的索引号。该域被PE装载器用来在DLL的引出表里快速查询函数。该值不是必须的,一些连接器将此值设为0。
Name1
含有引入函数的函数名。函数名是一个ASCIIZ字符串。注意这里虽然将Name1的大小定义成字节,其实它是可变尺寸域,只不过我们没有更好方法来表示结构中的可变尺 寸域。
扫一扫
673
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
