Windows PE 第四章 导入表

最新推荐文章于 2024-07-25 17:47:24 发布
最新推荐文章于 2024-07-25 17:47:24 发布
阅读量3.7k 收藏 13
点赞数 1
分类专栏: Windows PE 文章标签: Windows PE 导入表 IAT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/52751849
版权
本文详细介绍了Windows PE中的导入表,它是PE文件中实现代码重用的关键部分。导入表包含了程序调用动态链接库函数的信息,系统在运行时会加载对应的动态链接库并修正函数地址。内容涉及导入函数、invoke指令分解、导入函数地址和导入表结构,包括导入表描述符、双桥结构、IAT等知识点。
摘要由CSDN通过智能技术生成

第四章 导入表

    导入表是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的。通过分析导入表数据,可以获得诸如OE文件的指令中调用了多少外来函数,以及这些外来函数都存在于哪些动态链接库里等信息。Windows加载器在运行PE时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址。在数据目录中一共有四种类型的数据与导入表数据有关: 导入表、导入函数地址表、绑定导入表、延迟加载导入表。

4.1何为导入表

    当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行指令字节码从哪里能够获取。这些信息就是导入表所要描述的内容。

4.2导入函数

    程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。

4.2.1  invoke指令分解

    在汇编语言中,程序一旦被编译,编译器会对invoke指令进行适当分解。分解后的指令中将会包含指向导入函数的地址的操作数。当PE文件被装载到内存中时,该操作数就会变成导入函数所在虚拟地址真实的VA

使用OD打开HelloWorld.exe程序,查看汇编后的字节码以及相关调用如下:

书上的OD结果:

 

自己本地C++写的一个的OD结果:

 

VS2012 反汇编结果:

 

以书上的为解释例子:

将原代码中两个导入函数MessageBoxAExitProcess的调用语句解释成字节码分别为:

 

从指令的反汇编代码中可以看出,以第一个调用为例,对invoke指令的分解操作包含以下三步:

1.压栈。即先将要调用的所有参数push到栈中。(反向顺序压栈)。

2.段内调用。即通过指令call调用一个段内地址,既call 00401018

3.无条件转移。call指令操作数0x00401018处的值是:FF25 28204000,该字节码反汇编,得到一个无条件跳转指令,跳转到了位置0x00402008处。

(从位置00402008处获取的值是导入函数MessageBoxA在内存中的VA。)


4.2.2  导入函数地址

    导入函数是从动态链接库引入的函数,所以,导入函数地址位于被加载的进程地址空间的相应的动态链接库模块内。系统在执行用

最低0.47元/天 解锁文章
TK13
关注
专栏目录
PE结构:导入中的双桥结构
weixin_43742894的博客
05-15 1153
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件:导入》:https://blog.csdn.net/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE文件(十二)导入IATHOOK
最新发布
2301_78838647的博客
07-25 961
此时就可以修改IAT了。当一个PE文件(如.dll/.exe等)需要使用别的模块的函数,也叫做依赖某模块,就需要一个清单来记录使用的模块(一般为.dll文件,为方便理解,以后我们将模块都认为是.dll文件)及使用的函数的相关信息(如使用了哪些DLL、使用了这个DLL里的哪些函数、叫什么名、去哪找等),这个清单就叫做导入。元素现形式不同的原因:一个.DLL中的函数可以以函数名称导出,也可以以序号(NONAME)导出,所以当一个PE文件使用别的.DLL中的函数时要考虑这个函数的名字和序号两种情况。
PE-导入
megaparsec
12-19 1985
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
《初识PE导入
weixin_33767813的博客
11-21 299
最近听别人讲的我晕晕乎乎的,于是上网上百度下,感觉这篇还不错。 链接:http://www.blogfshare.com/pe-export.html 一、导入简介 在编程中常常用到“导入函数”(Import functions),导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些函数信息,包括函数名及其驻留的DLL...
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5652
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
详解详解windowsPE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
- **导入**:PE文件通过导入引用其他DLL的功能。每个导入项包含函数名或导入地址索引,允许程序在运行时调用其他模块的函数。 - **导出**:当PE文件被设计为DLL时,会有一个导出,列出对外提供的函数和...
pe结构分析之手工修复导入
ChuMeng1999的博客
10-25 1441
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入概念非常清楚。常见输入的结构是为了示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT示。 INT:全称import name table输入名称。简单来说,INT存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
PE文件:延迟导入
weixin_43742894的博客
04-01 510
延迟导入从它的名字上,我们可以知道他是一种加载比较延迟的导入,不是在一开始就被加载的,而是等到要被使用的时候,才会被延迟加载(动态加载相关链接库并修正函数的虚拟地址,实现对函数的调用)。
Windows Pe 第三章 PE头文件(上)
天使也掉毛
09-11 2663
Windows Pe 第三章 PE头文件(上)
获取PE文件的导入
04-02
获取PE文件的导入中模块和API信息的源代码
PE_导入
qq_42363151的博客
09-25 125
PE
PE文件】导入
bailing1370的博客
07-16 199
1、数据目录第二个成员指向导入IMAGE_DATA_DIRECTORY[1] ->IMAGE_DIRECTORY_ENTRY_IMPORT。 2、导入以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始。并且一个DLL文件对应一个IID结构,最后以一个全0的IID结构作为结尾。有多少个IID就有多少个DLL被导入。 1 struct _IMAG...
PE结构导入
不会写代码的丝丽
03-19 379
首先放一张PE结构 导入放在数据目录数组中,所以我们先介绍这个数组相关结构。 首先有4个字节指示这个数组大小,然后再接上数组元素。 每一项数组的结构体 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //内存的虚拟地址 DWORD Size;//大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 上面的示意义:的在VirtualAddress内存处大小为
PE文件 - 导入
weixin_45012273的博客
11-11 1301
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件的导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE导入
跃然实验室
06-12 689
导入的位置:在PE文件的PE文件头 导入通常位于 .idata 段 导入函数(Import functions )就是被程序调用但其执行代码又不在程序中的函数 函数的代码位于一个或者多个DLL中 动态链接 ——当PE文件被装入内存的时候,Windows装载器才将DLL装入,并将调用导入函数的指令和函数实际所处的地址联系起来 导...
PE文件(1)导入
nyzdmc的博客
03-02 740
PE文件(1)导入 概念 导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。 对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 文件被装入内存后,Windows的 加载器才将相关DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来。 这就是“动态链接”的概念。动态链接是通过PE 文件...
PE导入(输入)学习笔记
tzwj1983的博客
03-19 492
导入结构及部分关键代码
windows PE的详细资料
03-21
Windows PE(Portable Executable)是Windows操作系统中可执行文件和动态链接库(DLL)的标准格式。它是一种可移植的可执行文件格式,用于在Windows操作系统上运行应用程序。 Windows PE文件包含了程序的代码、数据和资源,以及用于加载和执行程序的信息。它由多个部分组成,包括DOS头、COFF头、节和数据目录等。 1. DOS头:DOS头是PE文件的开头部分,包含了一些DOS相关的信息。这部分主要是为了兼容早期的DOS系统。 2. COFF头:COFF头是PE文件的第一个标准头部,它包含了一些基本的文件信息,如文件类型、目标机器类型、节偏移等。 3. 节:节PE文件中最重要的部分之一,它描述了文件中各个节(section)的信息。每个节都包含了一段连续的数据,如代码、数据、资源等。节中的每个条目描述了一个节的起始位置、大小、属性等。 4. 数据目录:数据目录是PE文件中的一个重要部分,它包含了一些特殊功能的数据结构的位置和大小信息。例如,导入、导出、重定位等。 除了上述基本结构外,PE文件还包含了其他一些重要的信息,如导入(描述了程序所依赖的外部函数)、导出(描述了程序提供给其他模块使用的函数)、重定位(用于修正程序在内存中的地址)等。 Windows PE文件的格式是由Microsoft定义的,并且在不同的Windows版本中有所变化。了解PE文件的结构和格式对于进行二进制分析、逆向工程和软件开发都非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值