Windows PE 第四章 导入表

最新推荐文章于 2024-05-05 13:12:43 发布
最新推荐文章于 2024-05-05 13:12:43 发布
阅读量3.7k 收藏 13
点赞数 1
分类专栏: Windows PE 文章标签: Windows PE 导入表 IAT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/52751849
版权
本文详细介绍了Windows PE中的导入表,它是PE文件中实现代码重用的关键部分。导入表包含了程序调用动态链接库函数的信息,系统在运行时会加载对应的动态链接库并修正函数地址。内容涉及导入函数、invoke指令分解、导入函数地址和导入表结构,包括导入表描述符、双桥结构、IAT等知识点。
摘要由CSDN通过智能技术生成

第四章 导入表

    导入表是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的。通过分析导入表数据,可以获得诸如OE文件的指令中调用了多少外来函数,以及这些外来函数都存在于哪些动态链接库里等信息。Windows加载器在运行PE时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址。在数据目录中一共有四种类型的数据与导入表数据有关: 导入表、导入函数地址表、绑定导入表、延迟加载导入表。

4.1何为导入表

    当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行指令字节码从哪里能够获取。这些信息就是导入表所要描述的内容。

4.2导入函数

    程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。

4.2.1  invoke指令分解

    在汇编语言中,程序一旦被编译,编译器会对invoke指令进行适当分解。分解后的指令中将会包含指向导入函数的地址的操作数。当PE文件被装载到内存中时,该操作数就会变成导入函数所在虚拟地址真实的VA

使用OD打开HelloWorld.exe程序,查看汇编后的字节码以及相关调用如下:

书上的OD结果:

 

自己本地C++写的一个的OD结果:

 

VS2012 反汇编结果:

 

以书上的为解释例子:

将原代码中两个导入函数MessageBoxAExitProcess的调用语句解释成字节码分别为:

 

从指令的反汇编代码中可以看出,以第一个调用为例,对invoke指令的分解操作包含以下三步:

1.压栈。即先将要调用的所有参数push到栈中。(反向顺序压栈)。

2.段内调用。即通过指令call调用一个段内地址,既call 00401018

3.无条件转移。call指令操作数0x00401018处的值是:FF25 28204000,该字节码反汇编,得到一个无条件跳转指令,跳转到了位置0x00402008处。

(从位置00402008处获取的值是导入函数MessageBoxA在内存中的VA。)


4.2.2  导入函数地址

    导入函数是从动态链接库引入的函数,所以,导入函数地址位于被加载的进程地址空间的相应的动态链接库模块内。系统在执行用

最低0.47元/天 解锁文章
TK13
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE-导入
megaparsec
12-19 1930
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
导入
qq_41232519的博客
09-05 510
文章目录一、 导入(出)二、导入三、导入结构(20个字节)四、导入名字 一、 导入(出) 导入在扩展PE头_IMAGE_DATA_DIRECTORY DataDirectory[16]中,每个结构体都是8个字节 二、导入 IMAGE_DIRECTORY_ENTRY_IMPORT struct _IMAGE_DATA_DIRECTORY { 0x00 DWORD VirtualAddress; //导入的地址 0x04 DWORD Size; //大小 }; 三、导入结构(20个字
PE文件的导入,动态链接库中的函数应该如何导入
最新发布
m0_62102520的博客
05-05 688
探索者安全团队技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用本公众号所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者。
2.5 PE结构:导入详细解析
热门推荐
CSDN
09-05 1万+
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
导入与导出
richard1230的博客
10-09 7363
文章目录首先说几个基本问题:双桥结构解析导入:导入: 首先说几个基本问题: 1.导入的作用是什么?没有它exe能运行么? 作用:记录了一个exe或者一个dll所用到的其他模块导出的函数; 所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数 2.导出的作用?没有它exe能运行么? 作用:记录了导出符号的地址,名称,与序号 (提示:exe文件中很少有导出的,大多数dll都有...
PE文件 - 导入
weixin_45012273的博客
11-11 1253
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件的导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
详解详解windowsPE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
- **导入**:PE文件通过导入引用其他DLL的功能。每个导入项包含函数名或导入地址索引,允许程序在运行时调用其他模块的函数。 - **导出**:当PE文件被设计为DLL时,会有一个导出,列出对外提供的函数和...
Windows PE 内置软件添加工具
02-28
3. **运行添加工具**:启动`Windows PE 内置软件添加工具 v2.0.exe`,按照使用说明.txt中的指导,导入PE镜像和选择要添加的软件。 4. **添加软件**:工具会处理软件的打包和集成过程,将它们嵌入到PE镜像中。 5. **...
延迟导入w.zip
04-01
延迟导入PE文件中一个关键的特性,它允许程序在运行时而不是加载时解析和绑定DLL引用。这种机制提高了程序的启动性能,因为不是所有的DLL都需要立即加载。下面我们将深入探讨延迟导入的概念、工作原理以及相关...
导入添加段vc
05-20
在更复杂的场景下,可能需要使用如`ImageHlp`库或者第三方工具来分析和修改PE文件的导入。但请注意,不恰当的操作可能会导致程序运行错误,甚至系统崩溃。 总的来说,“导入添加段vc”涉及的是VC++编程中关于PE...
PE结构】5.导入
SMOne
06-25 1923
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
pe-inject 修改程序导入
04-02
编辑修改程序导入,增加自定义DLL PE-inject is a special library which allows developers to place their own code into Windows executable files (EXE, DLL, OCX and others). PE-inject was designed to be as simple as possible, to make modification of executables (so called PE-files) as easy as writing a "Hello world!" program. The knowledge of Assembler and Windows PE-EXE file format, which was essential before PE-inject came, is no longer required. To inject your code into foreign executables you only need to make a DLL file with functions you want to inject into PE file, call PE-inject function to place the DLL into the executable and the file is injected. From now on, everytime you run the executable, the injected code will be run first and after it finishes, the old application code will start. PE-inject doesn't need to write any data to harddrive, like some other solutions do. Therefore it can be also used for applications which require highest security, like PE-protection engines. From EXE password protectors, through PE compressors to PE anti-cracking protectors, everything is easy to implement. PE-inject has a really well designed interface, which allows you to use it for almost any purpose related with injection of code into PE-files. Even a virus-like code is possible!
获取进程中导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
PE文件导入解析(C++)
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
WINNT.H内的_IMAGE_IMPORT_BY_NAME 变长数组示例
MessCodes
02-16 2907
研究WINNT.H里面的导入结构体_IMAGE_IMPORT_BY_NAME 时,发现一个问题,结构体成员Name数组竟然是1,但是实际上反汇编看到是一个不同长度的字符串。怎么实现的呢?很多人在网上提到如下说法,但没有深入分析为什么。这里就给出一个参考例子。说明怎么搭建那个名字的。当然这个名字都是由 typedef struct _IMAGE_THUNK_DATA32 {
PE文件学习笔记(五):导入IAT、绑定导入解析
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
读取PE文件的导入
weixin_34220963的博客
09-08 415
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .ida...
windows PE结构的可选头部的那个数据描述导入
06-04
PE结构的可选头部中的数据目录中第一项描述的就是导入。数据目录是一个数组,每个元素是一个描述项,包括该项数据在PE文件中的位置和大小等信息。在可选头部中,数据目录大小为16字节,其中第一项就是描述导入的数据目录项,包括以下内容: - RVA(Relative Virtual Address):导入在内存中的相对虚拟地址。 - Size:导入PE文件中的大小。 - 其他字段:保留字段,通常为0。 导入是一个描述PE文件需要在运行时调用哪些外部函数的格。它包含了每个需要调用的外部函数的名称和地址,以及它们所在的DLL文件的名称和地址等信息。Windows在启动PE文件时就会动态地加载这些DLL文件,并把它们映射到进程的虚拟地址空间中。然后,当PE文件需要调用某个外部函数时,就可以直接跳转到该函数的地址执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值