遍历延迟导入表

最新推荐文章于 2023-09-16 23:31:06 发布
最新推荐文章于 2023-09-16 23:31:06 发布
阅读量198 收藏
点赞数
分类专栏: C++编程 文章标签: c语言 PE结构 延迟导入表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/120862830
版权

不多比比,直接上代码:

// 同时遍历PE文件的导入表、导出表的函数名
#include<Windows.h>
#include<stdio.h>
#include <DelayImp.h>
#pragma warning(disable : 4996)

DWORD RVA_2_RAW(char* buf, DWORD Rva, DWORD Raw, BOOL flag);
DWORD DelayImport(char* buf);
typedef struct ImgDelayDescr {
	DWORD           grAttrs;        // attributes  
	DWORD             rvaDLLName;     // RVA to dll name  
	DWORD             rvaHmod;        // RVA of module handle  
	DWORD             rvaIAT;         // RVA of the IAT  
	DWORD             rvaINT;         // RVA of the INT  
	DWORD             rvaBoundIAT;    // RVA of the optional bound IAT  
	DWORD             rvaUnloadIAT;   // RVA of optional copy of original IAT  
	DWORD           dwTimeStamp;    // 0 if not bound,  
									// O.W. date/time stamp of DLL bound to (Old BIND)  
} ImgDelayDescr, * PImgDelayDescr;
typedef const ImgDelayDescr* PCImgDelayDescr;
void main()
{
	char PATH[] = "C:\\Users\\admin\\Desktop\\crypt32\\crypt32.dll";	// 目标PE文件
	long PEFileSize;								// 偏移字节数
	FILE* fp = fopen(PATH, "rb");					// 尝试读取(r)一个二进制(b)文件,成功则返回一个指向文件结构的指针,失败返回空指针
	if (fp == NULL)
	{
		printf("PE文件读取失败!\n");
	}
	fseek(fp, 0, SEEK_END);							// 设置文件流指针指向PE文件的结尾处
	PEFileSize = ftell(fp);							// 得到文件流指针当前位置相对于文件头部的偏移字节数,即获取到了PE文件大小(字节)

	char* buf = new char[PEFileSize];				// 新建一个数组指针buf,指向一个以PE文件字节数作为大小的数组
	memset(buf, 0, PEFileSize);						// buf指针指向内存中数组的开始位置
													// 在这里用0初始化一块PEFileSize大小的内存,即为数组分配内存
	fseek(fp, 0, SEEK_SET);							// 将文件流指针指向PE文件头部
	fread(buf, 1, PEFileSize, fp);					// 从给定输入流fp中读取PEFILESize大小个数据项保存到buf字符数组中,每项大小为1字节
	DelayImport(buf);												// 这样将PE文件读入内存实际上就让buf指向了PE文件的基地址ImageBase
	fclose(fp);
}

// 文件已经读取到内存中了
DWORD RVA_2_RAW(char* buf, DWORD RVA, DWORD RAW, BOOL flag)				// RVA为导入表或导出表的RVA;flag为1,RVA转偏移,为0反过来——事实上此程序只用到了1
{
	PIMAGE_DOS_HEADER pDOS = (PIMAGE_DOS_HEADER)buf;					// 获取DOS头,pDos为PIMAGE_DOS_HEADER结构体的实例,buf则指向PE文件的基地址
	PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)(buf + pDOS->e_lfanew);	// 获取NT头,pNT为PIMAGE_DOS_HEADER的实例,DOS头的e_lfanew成员指示了NT头的偏移量
	PIMAGE_SECTION_HEADER pSection = (PIMAGE_SECTION_HEADER)(buf + pDOS->e_lfanew + 0x18 + pNT->FileHeader.SizeOfOptionalHeader);
	// 获取区块表头,pSection为PIMAGE_SECTION_HEADER的实例
	// +0x18指向了可选头,加上可选头的大小即指向了Section表头的首部,可选头的大小存放在文件头的成员中

	DWORD SectionNumber = pNT->FileHeader.NumberOfSections;							// 通过文件头获取区块数(节区数)
	DWORD SizeOfAllHeadersAndSectionList = pNT->OptionalHeader.SizeOfHeaders;		// 所有头(DOS+NT)+区块表的大小,是一个大小而不是地址
	DWORD Imp_Exp_FA = 0;															// 导入导出表在磁盘文件中的地址
	DWORD SectionRVA = 0;															// 暂存每个节区表的RVA

	int i = 0;
	if (flag)
	{
		if (RVA < SizeOfAllHeadersAndSectionList)									// 如果导入导出表的RVA连节区表都没出,直接返回,因为(DOS+NT头+节区表)在内存中不展开
		{
			Imp_Exp_FA = RVA;
		}
		for (; i < SectionNumber;i++)												// 有多少节区就循环几次,从第一个节区表开始操作,如果PE文件有N个节,那么区块表就是由N个IMAGE_SECTION_HEADER组成的数组
		{
			SectionRVA = pSection[i].VirtualAddress;								// 该区块加载到内存中的RVA
			// 计算该导入导出表的RVA位于哪个区块内
			if (RVA > SectionRVA && SectionRVA + pSection[i].Misc.VirtualSize > RVA)// &&后面为:该区块的RVA(该区块在内存中的起始地址) + 该区块没有对齐处理之前的实际大小(磁盘中的大小。Misc是共用体)
			{
				Imp_Exp_FA = RVA - SectionRVA + pSection[i].PointerToRawData;				// (导入导出表的RVA - 所在节区的基址)得到导入导出表相对该节区的偏移量offset,然后offset + 该节区在磁盘文件中的VA = FOA,得到了文件偏移地址(即导入导出表在磁盘文件中的地址)
				break;																// 找到了就不再遍历节区了
			}
		}
	}
	else
	{
		if (RAW < SizeOfAllHeadersAndSectionList)									// 这里就是通过RAW求RVA了(该程序并未用到)  注意文件偏移地址就是在磁盘文件中的地址:RAW==FOA==FA   (其实一共就3个概念:VA RVA FA,分别是虚拟绝对地址,虚拟相对地址,文件绝对地址)
		{
			Imp_Exp_FA = RAW;
		}
		for (; i < SectionNumber; i++)
		{
			SectionRVA = pSection[i].PointerToRawData;
			if (RAW > SectionRVA && SectionRVA + pSection[i].SizeOfRawData > RAW)
			{
				Imp_Exp_FA = RAW - SectionRVA + pSection[i].VirtualAddress;
				break;
			}
		}
	}
	return Imp_Exp_FA;
}

// 导入表一般包含DLL和普通API两部分,因此要分别考虑
DWORD DelayImport(char* buf)
{
	PIMAGE_DOS_HEADER pDOS = (PIMAGE_DOS_HEADER)buf;
	PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)(buf + pDOS->e_lfanew);
	DWORD DelayImportTableRVA = pNT->OptionalHeader.DataDirectory[13].VirtualAddress;					// 获得延迟导入表的RVA,DataDirectory[13]是延迟导入表
	DWORD DelayImportDLL_FA = RVA_2_RAW(buf, DelayImportTableRVA, 0, 1);									// 计算导入DLL在磁盘文件中的地址,这个变量专门保存DLL地址
	PImgDelayDescr pDelayImportTable = (PImgDelayDescr)(buf + DelayImportDLL_FA);	// pImportTable指向导入的DLL在磁盘文件中的地址
	printf("延迟导入表:\n");
		int i = 0;
		while (pDelayImportTable->rvaDLLName)
		{
			// 打印DLL名字
			DWORD DelayImportDLLName_RVA = pDelayImportTable->rvaDLLName;											// 指向被输入的DLL的名称(ASCII字符串)的RVA,注意只针对DLL
			DelayImportDLL_FA = RVA_2_RAW(buf, DelayImportDLLName_RVA, 0, 1);									// 求出导入函数名在磁盘文件中的物理地址
			printf("%s--------------------------我是DLL哟\n", buf + DelayImportDLL_FA);				// 打印这个DLL的名字
			DWORD DelayApiRva = pDelayImportTable->rvaINT;//获取API函数名称的RVA
			// 打印普通API名字
			DWORD DelayApiRva_FA = RVA_2_RAW(buf, DelayApiRva, 0, 1);//获取API函数名称的FA
			PIMAGE_THUNK_DATA DelayApiINT = (PIMAGE_THUNK_DATA)(buf + DelayApiRva_FA);//指向INT表
			while(DelayApiINT != 0)
			{
				DWORD Delay_Name = DelayApiINT->u1.AddressOfData;
				DWORD Delay_Name_FA = RVA_2_RAW(buf, Delay_Name, 0, 1);
				PIMAGE_IMPORT_BY_NAME Delay_Import_Name = (PIMAGE_IMPORT_BY_NAME)(buf + Delay_Name_FA);
				if (!strcmp(Delay_Import_Name->Name, "CveEventWrite"))
				{
					printf("匹配到目标函数\n");
				}
				printf("函数序号为%d--------------------------函数名称:%s\n", Delay_Import_Name->Hint, Delay_Import_Name->Name);
				DelayApiINT++;
				if (DelayApiINT->u1.AddressOfData == 0)
				{
					break;
				}
			}
			pDelayImportTable++;																				// 指针++就是指向下一个内存地址,即指向下一个IMAGE_IMPORT_DESCRIPTOR结构
		}
	return 0;
}

其中涉及到的结构体ImgDelayDescr可以直接包含头文件DelayImp.h
rvaINT这个字段指向INT表,进而指向IMAGE_IMPORT_BY_NAME结构
但是比较好奇,pNT->OptionalHeader.DataDirectory[13].Size这个字段我理解是表示延迟导入的函数的个数,但是我用这个字段控制循环的时候不太理想

Psy_Hacker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
遍历导入(上课代码)
weixin_30596165的博客
03-28 143
// 02 遍历导入.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> //************************************ // Method: IsPeFile // FullName: IsPeFile // Access: public ...
导入与导出
richard1230的博客
10-09 7440
文章目录首先说几个基本问题:双桥结构解析导入:导入: 首先说几个基本问题: 1.导入的作用是什么?没有它exe能运行么? 作用:记录了一个exe或者一个dll所用到的其他模块导出的函数; 所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数 2.导出的作用?没有它exe能运行么? 作用:记录了导出符号的地址,名称,与序号 (提示:exe文件中很少有导出的,大多数dll都有...
C语言遍历导入导出
VI___
07-06 2142
通过C语言遍历PE文件的导入和导出
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5637
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE--导入
SUNE__学无止境
05-18 366
遍历导入信息 /////////////////读取导入信息/////////////////////// VOID _GetImportInfo(PVOID pFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNtHeaders = NULL; PIMAGE_IMPORT_DESCR
neo4j批量数据导入
03-01
通过这种方式,可以高效地执行批量导入操作,减少网络延迟。嵌入式API中的`GraphDatabaseService`是主要接口,可以用来执行Cypher查询。 3. **事务操作**:为了提高性能,批量导入通常会在单个事务中处理大量数据。...
用dos命令实现导入、导出windows计划任务详解
09-21
- 导入时,批处理脚本会遍历指定目录(如`tasks`)中的所有XML文件。 - 对每个XML文件,使用`schtasks /create`命令创建新的计划任务,指定任务名称、用户名、密码以及XML文件作为参数。 - 在创建任务时,可能...
互信息法计算延迟时间
04-17
3. **遍历延迟**:为不同的延迟值重复步骤2,构建一个互信息与延迟的数组。 4. **找到峰值**:通过绘制互信息随延迟变化的曲线,找到最大值对应的延迟,这个延迟就是最佳延迟时间。 5. **验证结果**:使用最佳延迟...
excel批量导入到sql2005
11-23
- 解决可能出现的错误提示,设置`DelayValidation`属性为True以延迟验证直到运行时。 8. **运行测试**:完成上述配置后,可按下F5执行该SSIS包,查看是否能成功将所有Excel文件导入到SQL Server数据库中。 #### ...
滴水逆向三期实践16:IAT导入
Rivival_S 的博客
11-09 2814
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
C语言实现遍历PE文件导入
最新发布
溡漪幽博客
09-16 292
C++ 编程实现遍历PE文件导入,可以遍历延迟导入的函数
延迟加载Dll的实现原理
青青子衿
01-01 4050
延迟加载Dll的实现原理一. 简介延迟加载Dll是一个混合方式,它通过LoadLirary和GetProcAddress获得延迟加载函数的地址,然后直接转向对延迟加载函数的调用。延迟加载不是操作系统的一个特征,它完全是通过链接器和运行库加入额外的代码和数据来实现的。同样地,无法在WINNT.H里找到关于延迟加载的更多参考,不过,可以在延迟装入数据(Delayload Data)和常
PE文件结构详解(五)延迟导入
Azure_Sky_2014
02-02 869
转自:http://blog.csdn.net/evileagle/article/details/12718845 PE文件结构详解(四)PE导入讲了一般的PE导入,这次我们来看一下另外一种导入延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使用的频率比较低,或者在某些特定的场合才会用到,而有
延迟导入
dre4merp
05-16 469
延迟导入,顾名思义就是有一些函数或模块,不需要再程序一启动就加载导入,而是等到真正用到的时候才进行导入的。 延迟导入导入结构基本类似也存在IAT和INT,存在双桥结构,这里不再赘述,关于导入请参考: 先看一下延迟导入结构体。 typedef struct ImgDelayDescr { DWORD grAttrs; // attributes RVA rvaDLLName; // RVA to dll n
[源码和文档分享]根据PE文件格式从导入中获取加载的DLL并遍历导入函数名称和地址...
qq_38474647的博客
12-30 232
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入以及导出的工作原理,又是重中之重。理解了 PE 格式的导入,就可以修改 PE 格式进行 DLL 注入,也可以修改导入实现 API HOOK 等。理解了 PE 格式的导出,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数的名...
AssetManager加载远程资源
成长ing中的w的专栏
09-17 2271
/** * Author:W * 使用AssetsManager加载远程资源 */ cc.Class({ extends: cc.Component, properties: { }, // LIFE-CYCLE CALLBACKS: onLoad () { this.loadRemoteUrlAsset(); }, start () { setTimeout(function(){
Dll高级技术之【延迟加载】
qingzai_的专栏
05-30 4572
【DLL的隐式加载】: 1.在Lib中包含导入库MyLib.lib 2.cpp中包含头文件MyLib.h 3.运行目录里面包含MyLib.dll 【DLL的显式加载】: 1.运行目录里面包含MyLib.dll 2.LoadLibrary及GetProcAddress 【DLL的延迟加载】: 1.需要DLL,MyLib.lib导入库及MyLib.h 进行【隐式加载】的全步骤 3.属性-&gt;配置属...
VS之DLL延迟载入
Starr
10-10 1815
dll延迟加载 文章目录dll延迟加载vs配置代码示例在PE中的结构延迟加载机制是为了提高进程加载效率的技术。 延迟加载机制没有对dll任何特殊要求,也就是说任意的一个DLL都可以被延迟加载(除了kernel32.dll)。 vs配置 #include <windows.h> #include <delayimp.h> #pragma comment(lib, "Del...
批量导入Excel到SQL2005:SSIS自动化教程
10. 测试与自动化:完成配置后,可以通过F5运行任务,所有符合结构的Excel文件将被导入到预先创建的SQL Server数据库中。此外,还可以通过创建SQL Server作业来定期自动执行此导入操作。 本教程提供了实用的步骤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值