PE结构(四) 绑定导入表

最新推荐文章于 2021-11-10 16:48:36 发布
最新推荐文章于 2021-11-10 16:48:36 发布
阅读量461 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37673331/article/details/104584969
版权

1.关于绑定导入
一般情况下,在程序加载前IAT表和INT表中的内容相同,都是程序引用的dll中的函数的函数名或序号;
加载完成后IAT表中将替换为函数的真正地址;

但在加载前IAT表中直接写绝对地址是可以实现的;
加载前在IAT表中保存绝对地址的优点:启动程序快;
在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT表修复为地址等等;
如果直接用绝对地址,则省去了修复IAT表的操作;
缺点:
dll重定位时,如果dll没能占据自身ImageBase处的地址,则需要修复绝对地址;
dll被修改时,dll被修改,IAT表中对应的函数地址可能被改,需要修复函数地址;

例如windows提供的一些程序就使用了这种方式,比如记事本;
这种方式称为“绑定导入“;

2.如何判断绑定导入
在导入表中结构中有个属性:TimeDateStamp;
该属性表示时间戳;
如果值为0则表示当前的dll的函数没有被绑定,在程序加载时会调用系统函数获取函数地址;
如果值为-1则表示当前的dll的函数已经绑定,而且绑定的时间存在另外一张表里;那张表就是绑定导入表;

3.绑定导入表
PE加载EXE相关的DLL时,首先会根据IMAGE_IMPORT_DESCRIPTOR结构中的TimeDateStamp来判断是否要重新计算IAT表中的地址。
TimeDateStamp == 0 未绑定
TimeDateStamp == -1 已绑定 真正的绑定时间为IMAGE_BOUND_IMPORT_DESCRIPTOR的TimeDateStamp

绑定导入表位于数据目录的第12项;
绑定导入表的结构:

typedef struct _IMAGE_BOUND_IMPORT_DESCRIPTOR {
    DWORD   TimeDateStamp;
    WORD    OffsetModuleName;
    WORD    NumberOfModuleForwarderRefs;    // Array of zero or more IMAGE_BOUND_FORWARDER_REF follows
} IMAGE_BOUND_IMPORT_DESCRIPTOR,  *PIMAGE_BOUND_IMPORT_DESCRIPTOR;

TimeDateStamp ->时间戳;用来判断是否和绑定的dll是同一个版本;也就是看时间戳和dll的pe头中的时间戳是否一样;
OffsetModuleName ->dll的名字;注意保存的既不是RVA也不是FOA;
dll的名字计算公式为:第一个DESCRIPTOR的值+OffsetModuleName;
NumberOfModuleForwarderRefs ->当前dll另外依赖的dll数量;因为dll也可能依赖dll;

绑定导入表结构后面紧跟的并不一定是下一个绑定导入表;
如果NumberOfModuleForwarderRefs为N则还有N个另外的结构;
该结构也是用来描述dll的;
结构如下:

typedef struct _IMAGE_BOUND_FORWARDER_REF {
    DWORD   TimeDateStamp;
    WORD    OffsetModuleName;
    WORD    Reserved;
} IMAGE_BOUND_FORWARDER_REF, *PIMAGE_BOUND_FORWARDER_REF;

前两个属性和绑定导入表意义一样;
第三个属性Reserved为保留字段没鸟用
绑定导入表的结构图:

在这里插入图片描述

注意:
当IMAGE_BOUND_IMPORT_DESCRIPTOR结构中的TimeDateStamp与DLL文件标准PE头中的TimeDateStamp值不相符时,
或者DLL需要重新定位的时候,就会重新计算IAT中的值.

4.解析绑定导入表
有两个需要注意的地方:
1】OffsetModuleName的计算方式:第一个DESCRIPTOR的值+OffsetModuleName
2】绑定导入表并不在任何一个节中,而是在头中,因此RVA转FOA的方式可能会和在节中时有所不同;

# define _CRT_SECURE_NO_WARNINGS
# include "stdio.h"
# include "stdlib.h"
# include "windows.h"
# include "PE.h"


/*
1、定位绑定导入表,并打印出绑定导入表中的内容
*/


int PrintBoundImportTable(PVOID FileAddress)
{
	int ret = 0;
	//1、指向相关内容
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)(FileAddress);
	PIMAGE_FILE_HEADER pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER));

	//2、获取绑定导入表的地址
	DWORD BoundImportDirectory_RVAAdd = pOptionalHeader->DataDirectory[11].VirtualAddress;
	DWORD BoundImportDirectory_FOAAdd = 0;
	//	(1)、判断绑定导入表是否存在
	if (BoundImportDirectory_RVAAdd == 0)
	{
		printf("BoundImportDirectory 不存在!\n");
		return ret;
	}
	//	(2)、获取绑定导入表的FOA地址
	ret = RVA_TO_FOA(FileAddress, BoundImportDirectory_RVAAdd, &BoundImportDirectory_FOAAdd);
	if (ret != 0)
	{
		printf("func RVA_TO_FOA() Error!\n");
		return ret;
	}

	//3、指向绑定导入表
	PIMAGE_BOUND_IMPORT_DESCRIPTOR BoundImportDirectory = (PIMAGE_BOUND_IMPORT_DESCRIPTOR)((DWORD)FileAddress + BoundImportDirectory_FOAAdd);


	//4、获取绑定导入表的基址
	DWORD BaseBoundImport = (DWORD)BoundImportDirectory;

	//5、循环打印绑定导入表信息
	while (BoundImportDirectory->OffsetModuleName && BoundImportDirectory->TimeDateStamp)
	{
		//	1)指向模块名
		PCHAR pModuleName = (PCHAR)(BaseBoundImport + BoundImportDirectory->OffsetModuleName);

		//	2)打印绑定导入表信息
		printf("ModuleName                  :%s\n", pModuleName);
		printf("TimeDateStamp               :%08X\n", BoundImportDirectory->TimeDateStamp);
		printf("NumberOfModuleForwarderRefs :%04X\n", BoundImportDirectory->NumberOfModuleForwarderRefs);
		printf("================ Start =========================\n");
		//	3)循环后续结构
		for (DWORD i = 0; i < BoundImportDirectory->NumberOfModuleForwarderRefs; i++)
		{
			//	4)指向后续结构
			PIMAGE_BOUND_FORWARDER_REF BoundImport_Ref = (PIMAGE_BOUND_FORWARDER_REF)&BoundImportDirectory[i + 1];//两个结构大小一样

																												  //	5)指向模块名
			pModuleName = (PCHAR)(BaseBoundImport + BoundImport_Ref->OffsetModuleName);

			//	6)打印信息
			printf("ModuleName-----------:%s\n", pModuleName);
			printf("TimeDateStamp--------:%08X\n\n", BoundImport_Ref->TimeDateStamp);

		}
		printf("================  End  =========================\n");

		//	7)指向下一个结构
		BoundImportDirectory = &BoundImportDirectory[BoundImportDirectory->NumberOfModuleForwarderRefs + 1];
	}

	return ret;
}

int main14()
{

	int ret = 0;

	PVOID FileAddress = NULL;

	//1、将文件读入到内存   
	ret = MyReadFile(&FileAddress);
	if (ret != 0)
	{
		if (FileAddress != NULL)
			free(FileAddress);
		return ret;
	}

	//2、打印绑定导入表的信息
	ret = PrintBoundImportTable(FileAddress);
	if (ret != 0)
	{
		if (FileAddress != NULL)
			free(FileAddress);
		return ret;
	}

	if (FileAddress != NULL)
		free(FileAddress);

	system("pause");
	return ret;
}
吾乃花花
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件:绑定导入
weixin_43742894的博客
04-01 394
绑定导入是为了加快程序的加载程序,因为正常PE加载的时候,要去检查导入并将相关的DLL映射到进程空间地址,并将导入的FirstThunk指向的数组填入函数的真实地址,这一步需要花费很多时间,绑定导入就是为了解决此环节的问题,**绑定导入保存了导入函数的真实地址,PE加载的时候系统会检测是否有绑定导入,就会直接将函数地址写入FirstThunk。**
PE知识复习之PE绑定导入
weixin_30352645的博客
10-05 165
                    PE知识复习之PE绑定导入 一丶简介   根据前几讲,我们已经熟悉了导入结构.但是如果大家尝试过打印导入结构. INT IAT的时候. 会出现问题. PE在加载前 INT IAT都指向一个名称. 这样说是没错的. 但是如果你打印过导入.会发现一个问题. 有的EXE程序.在打印IAT的时候.发现里面是地址. 原因:   我们的PE程...
PE文件绑定导入
fa1c4的blog
03-08 202
BOUND IMPORT TABLE 绑定导入是一种提高DLL加载速度的技术. 对于PE文件而言是可选项, 不是必须. 当修改PE文件时, 如果添加导入的DLL文件, 需要注意有没有绑定导入, 如果有需要删除或修改绑定导入, 否则会运行时出错. PEview查看绑定导入 Winhex查看相应位置 ...
13.PE文件之绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3830
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
关于绑定导入
abns44296的博客
03-24 743
0x01 绑定导入概念 绑定导入(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入并将相关DLL映射到进程空间地址。然后通过遍历IA...
C++17结构绑定的实现
08-19
结构绑定的示例代码 以下是一个使用结构绑定的示例代码: ```cpp #include #include int main() { std::map, int> map; auto&& [iter, inserted] = map.insert({1, 2}); if (inserted) { std::cout...
解析WPF绑定层次结构数据的应用详解
10-27
本文讲述WPF单层次数据和多层次数据的绑定方法,主要阐述数据绑定的显示层面,其涉及了ListBox和Treeview控件。并说明它们之间的差异
DropDownList绑定数据实现两级联动示例
10-26
主要介绍了DropDownList绑定数据实现两级联动具体实现,需要的朋友可以参考下
PE Format Layout.pdf
08-31
本文将深入解析PE文件的结构,特别是其导入描述符(_IMAGE_IMPORT_DESCRIPTOR)以及相关的概念。 在PE文件,_IMAGE_IMPORT_DESCRIPTOR 结构体扮演着至关重要的角色,它描述了PE文件如何导入其他DLL的函数。...
ZigBee技术 绑定方式
07-09
ZigBee技术 绑定方式
解析绑定导入
hambaga的博客
05-22 801
一、绑定导入的作用 有些windows程序,如notepad,为了提高加载速度,会直接把DLL的函数地址写入到IAT,省去了加载时的计算。但是这样会有两个问题,第一,当DLL没有占住ImageBase时,IAT的地址就是错的;第二,当链接的DLL被修改了,那IAT里写的地址也是错的。遇到这两种情形之一,加载时就必须修复IAT了。 对于第二种情形,DLL是否被修改,是根据比较DLL的时间戳和绑定导入的记录的DLL时间戳来判断的,如果不一致,说明DLL被修改了。 加载程序时,操作系统根据导入的时
绑定导入
若面朝大海边竹妮春暖花开的博客
05-15 214
我们之前分析过导入,在PE文件加载前IAT和INT相同,只有文件加载后才能根据INT通过序号或名称使用GetProcessAddress函数获得函数地址贴到IAT 我们观察记事本程序,记事本程序在PE文件加载前就把函数地址贴到IAT了。这种情况叫做绑定导入 这样做的好处是程序运行快,坏处是万一dll没有占住要使用的ImageBase,会出现错误,还有万一dll被修改了,值会发生改变 如果导入的时间戳为0代dll的所有函数地址还没有绑定,当时间戳为-1时,意味着函数地址已经被绑定 那么
滴水逆向——PE打印绑定导入
sunr.
04-15 564
1.绑定导入结构 2.定位绑定导入 3.注意: IMAGE_IMPORT_DESCRIPTOR结构的TimeDateStamp可以知道一个DLL有没有被绑定。TimeDateStamp为0,即未绑定;为-1即为绑定。 当IMAGE_BOUND_IMPORT_DESCRIPTOR结构的TimeDateStamp与DLL文件标准PE的TimeDateStamp...
PE文件格式学习(十):绑定导入(BoundImportDirectory)
tutucoo
11-08 889
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导入的DLL...
导入绑定导入
weixin_43990313的博客
07-29 374
导入 概述 导入是用来存储应用程序需要的利用的模块以及模块内的函数的结构。记录了模块的信息和函数的信息。 结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向IMAGE_THUNK_DATA结构 }; DWOR
PE结构&绑定导入实现
寻梦&之璐
02-04 7725
简介 作用 绑定导入是一种提高PE加载速度的技术。它只能起辅助性作用,它的存在与否只影响加载过程,并不影响PE的最终加载结果和运行结果。 为什么说是辅助性呢? 因为不同的操作系统,动态链接库的基地址是不一样的。举个例子,kernel32.dll,在Windows 2000其加载到进程空间的基地址为0x77e60000,而在Windows XP SP3其加载地址则是0x7c800000。同一动态链接库加载后处于不同的基地址,直接导致了同一个导入函数在不同操作系统导入地址VA是不一样的。 因此经过绑定
PE文件格式学习(十):绑定导入
11-08 182
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导...
滴水逆向三期实践17:绑定导入
Rivival_S 的博客
11-10 1129
上一章最后讲到,打印导入时如果打印的某些 exe 比如 xp系统自带的 记事本 即notepad.exe(win10 的 notepad.exe已经没有这种情况了),那上面打印的结果就不一定是如上一章所说的了,因为我们默认了 FirstThunk 也就是IAT 的内容不是函数编号就是函数名的 RVA,实际上在文件的 IAT 仍然有第三种情况,这就是本章讲的内容了 IAT 在文件存储的内容未必是序号和函数名的 RVA,还有可能直接就是上章讲的文件运行加载进内存后呈现的真正的函数地址。而这个.
结构绑定
最新发布
05-27
结构绑定(Structured bindings)是C++17引入的一个新特性,它允许我们将一个结构体或数组的成员绑定到多个变量,以便更方便地访问和使用这些成员。例如: ``` struct Point { int x; int y; }; Point p = { 3, 4 }; // 使用结构绑定将p的成员绑定到变量x和y auto [x, y] = p; // 现在可以直接访问x和y了 std::cout << "x = " << x << ", y = " << y << std::endl; ``` 上面的代码,我们定义了一个Point结构体,它有两个成员x和y。然后我们创建了一个Point对象p,并使用结构绑定将它的成员绑定到变量x和y。最后我们可以直接访问x和y了,而不必使用p.x和p.y。 结构绑定不仅可以用于结构体,还可以用于数组和其他类型。例如: ``` int arr[] = { 1, 2, 3 }; // 使用结构绑定将arr的元素绑定到变量a、b、c auto [a, b, c] = arr; // 现在可以直接访问a、b、c了 std::cout << "a = " << a << ", b = " << b << ", c = " << c << std::endl; ``` 上面的代码,我们定义了一个包含三个元素的数组arr,并使用结构绑定将它的元素绑定到变量a、b、c。最后我们可以直接访问a、b、c了,而不必使用arr[0]、arr[1]、arr[2]。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值