PE文件格式学习(十四):绑定导入表(BoundImportDirectory)

最新推荐文章于 2023-04-19 23:58:22 发布
最新推荐文章于 2023-04-19 23:58:22 发布
阅读量889 收藏 2
点赞数
分类专栏: Windows逆向 文章标签: PE 绑定导入表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tutucoo/article/details/83855775
版权

1.介绍

绑定导入表的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入表中的dll文件,并将导入表的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,当绑定导入表有效时,即使是未运行状态,系统也会自动将导入表中的FirstThunk填入函数的真实地址,否则导入表的IAT在未载入内存时的值通常跟OriginFirstThunk中的一样,下图是Win7下的mspaint.exe,它拥有有效的绑定导入表,所以它的IAT中已经填好了函数的地址。
在这里插入图片描述

绑定导入表的生效,有两个前提条件:

  1. 程序初始化时,导入的DLL都加载到了首选基址中
  2. 程序执行了绑定导入操作以后,导入DLL中引用的符号位置一直没有变化

如果有任何一个条件没有满足,系统就会忽略绑定导入操作。

2.分析

在数据目录表中找到绑定导入表,本例使用的是Win7下的mspaint.exe,它的RVA是280h,大小为360,下图是它的十六进制数据:

我们对照它的结构体IMAGE_BOUND_IMPORT_DESCRIPTOR来分析:

typedef struct _IMAGE_BOUND_IMPORT_DESCRIPTOR {
      DWORD TimeDateStamp;     
      WORD OffsetModuleName; 
      WORD NumberOfModuleForwarderRefs;  
} IMAGE_BOUND_IMPORT_DESCRIPTOR, *PIMAGE_BOUND_IMPORT_DESCRIPTOR;

TimeDateStamp:时间戳,不多作解释,对应上图的0x4a5bd97e

OffsetModuleName:偏移,基址是IMAGE_BOUND_IMPORT_DESCRIPTOR的开端,对应上图的0x00a0,0x280+0xa0就是dll名称的位置

NumberOfModuleForwarderRefs:后面IMAGE_BOUND_FORWARDER_REF结构的数量,对应上图的0x01

我们再来看看IMAGE_BOUND_FORWARDER_REF的结构体:

typedef struct _IMAGE_BOUND_FORWARDER_REF {
         DWORD TimeDateStamp;
         WORD OffsetModuleName;
         WORD Reserved;
} IMAGE_BOUND_FORWARDER_REF, *PIMAGE_BOUND_FORWARDER_REF;

这个结构体的内容跟上面的其实是差不多的,绑定导入表中有一个函数转发链机制,比如说KERNEL32.DLL里面的HeapAlloc函数会转发到NTDLL.DLL中的RtlAllocateHeap函数,_IMAGE_BOUND_FORWARDER_REF 结构体就是用于保存转发函数的,一般情况下NumberOfModuleForwarderRefs为0,这个结构体对应上图中的0x288-0x28f处的内容。

tutucoo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析绑定导入
hambaga的博客
05-22 802
一、绑定导入的作用 有些windows程序,如notepad,为了提高加载速度,会直接把DLL中的函数地址写入到IAT,省去了加载时的计算。但是这样会有两个问题,第一,当DLL没有占住ImageBase时,IAT中的地址就是错的;第二,当链接的DLL被修改了,那IAT里写的地址也是错的。遇到这两种情形之一,加载时就必须修复IAT了。 对于第二种情形,DLL是否被修改,是根据比较DLL的时间戳和绑定导入中的记录的DLL时间戳来判断的,如果不一致,说明DLL被修改了。 加载程序时,操作系统根据导入中的时
PE知识复习之PE绑定导入
weixin_30352645的博客
10-05 165
                    PE知识复习之PE绑定导入 一丶简介   根据前几讲,我们已经熟悉了导入结构.但是如果大家尝试过打印导入的结构. INT IAT的时候. 会出现问题. PE在加载前 INT IAT都指向一个名称. 这样说是没错的. 但是如果你打印过导入.会发现一个问题. 有的EXE程序.在打印IAT的时候.发现里面是地址. 原因:   我们的PE程...
绑定导入
若面朝大海边竹妮春暖花开的博客
05-15 214
我们之前分析过导入,在PE文件加载前IAT和INT相同,只有文件加载后才能根据INT通过序号或名称使用GetProcessAddress函数获得函数地址贴到IAT中 我们观察记事本程序,记事本程序在PE文件加载前就把函数地址贴到IAT中了。这种情况叫做绑定导入 这样做的好处是程序运行快,坏处是万一dll没有占住要使用的ImageBase,会出现错误,还有万一dll被修改了,值会发生改变 如果导入中的时间戳为0代dll的所有函数地址还没有绑定,当时间戳为-1时,意味着函数地址已经被绑定 那么
关于绑定导入
abns44296的博客
03-24 744
0x01 绑定导入概念 绑定导入(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入并将相关DLL映射到进程空间地址。然后通过遍历IA...
13.PE文件之绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3842
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题
cay22的专栏
02-04 2695
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题 今天读取了ws2_32.dll的PE格式 在读取到image_nt_header32.OptionalHeader.DataDirectory[11]时 也就是IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT数据目录 看下面数据目录        Name            RVA
修复PE 文件导入
09-02
PE文件,全称为Portable Executable,是Windows操作系统中用于执行程序的文件格式。它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的...
延迟导入w.zip
04-01
在Windows操作系统中,PE(Portable Executable)文件格式是用于存放可执行程序、动态链接库(DLL)等的容器。延迟导入PE文件中一个关键的特性,它允许程序在运行时而不是加载时解析和绑定DLL引用。这种机制提高...
PE导入-函数列-HASH值
03-13
"PE导入"是PE文件格式的一个关键组成部分,它记录了程序在运行时需要调用的外部函数所在的动态链接库(DLL)及其具体函数地址。 1. **PE导入** PE导入是一个数据结构,它告诉操作系统程序需要哪些DLL以及在...
java实现CSV文件导入与导出功能
08-25
四、CSV 文件导入导出功能的实现思路 * 在客户端使用 Ajax 请求将文件上传到服务器端。 * 在服务器端使用 `MultipartFile` 对象接收上传的文件,使用 `InputStream` 对象读取文件内容。 * 将文件内容解析为 Java ...
cheap2el:廉价的PE(便携式可执行)文件格式
05-18
cheap2el-廉价体育图书馆cheap2el是一个小型库,用于以C / C ++编程语言浏览Windows PE(便携式可执行文件)格式文件。主要特点枚举头。 枚举导入(IAT / INT),包括绑定导入,延迟导入。 枚举导出(EAT / ENT...
PE文件:绑定导入
weixin_43742894的博客
04-01 395
绑定导入是为了加快程序的加载程序,因为正常PE加载的时候,要去检查导入并将相关的DLL映射到进程空间地址,并将导入的FirstThunk指向的数组填入函数的真实地址,这一步需要花费很多时间,绑定导入就是为了解决此环节的问题,**绑定导入中保存了导入函数的真实地址,PE加载的时候系统会检测是否有绑定导入,就会直接将函数地址写入FirstThunk。**
PE结构(四) 绑定导入
weixin_37673331的博客
02-29 465
1.关于绑定导入 一般情况下,在程序加载前IAT和INT中的内容相同,都是程序引用的dll中的函数的函数名或序号; 加载完成后IAT中将替换为函数的真正地址; 但在加载前IAT中直接写绝对地址是可以实现的; 加载前在IAT中保存绝对地址的优点:启动程序快; 在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT修复为地址等等; 如果直接用绝对地址,则省去了修复IAT的操作...
导入绑定导入
weixin_43990313的博客
07-29 374
导入 概述 导入是用来存储应用程序需要的利用的模块以及模块内的函数的结构。记录了模块的信息和函数的信息。 结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向IMAGE_THUNK_DATA结构 }; DWOR
滴水逆向三期实践17:绑定导入
Rivival_S 的博客
11-10 1133
上一章最后讲到,打印导入时如果打印的某些 exe 比如 xp系统自带的 记事本 即notepad.exe(win10 的 notepad.exe已经没有这种情况了),那上面打印的结果就不一定是如上一章所说的了,因为我们默认了 FirstThunk 也就是IAT 的内容不是函数编号就是函数名的 RVA,实际上在文件中的 IAT 仍然有第三种情况,这就是本章讲的内容了 IAT 在文件中存储的内容未必是序号和函数名的 RVA,还有可能直接就是上章讲的文件运行加载进内存后呈现的真正的函数地址。而这个.
PE文件格式学习十四):绑定导入
11-08 184
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导...
滴水三期:day40.1-绑定导入
最新发布
Edimade的博客
04-19 343
一、引入绑定导入 > 二、绑定导入(1.定位 > 2.绑定导入结构 > 3.作用)> 三、作业(1.打印绑定导入
滴水逆向三期 PE基础 绑定导入
四位的博客
05-18 315
分析 系统软件会有绑定导入 也就是IAT已经被设定为函数地址, 但是WIN10中即便是记事本也没了, 只能用xp的notepad代替. 这个的目的是减少程序启动时间, 在导入中时间戳为-1时代绑定导入. OffsetModule这个值需要加上第一个IMAGE_BOUND_IMPORT_DESCRIPTOR的地址, 而不是当前dll的地址 NumOfModuleForwarderRefs示当前dll所需要的其它dll, 在当前绑定导入之后紧跟的结构就是 typedef struct _IMA
WPF的数据绑定详细介绍
01-20
2. 双向绑定:数据可以在绑定源和绑定目标之间双向传输,当源数据变化时,目标会更新,反之亦然。 3. 单项绑定到源:数据只能从绑定目标流向绑定源,如果目标发生变化,源不会更新。 4. 单项绑定到目标:数据只能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值