Windows:PE格式之输入表

于 2021-03-21 18:19:01 发布
阅读量502 收藏 2
点赞数 2
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/115038115
版权

文章目录

前文是 Windows:32位PE文件结构

数据目录表

位置:ImageNtHeaders->OptionalHeader->DataDirectory
描述:由NumberOfRvaAndSizesIMAGE_DATA_DIRECTORY结构体组成的数组
包含有:输入表、输出表、资源表、重定位表等数据目录项的RVA和大小

输入表、输出表又称导入表、导出表

在这里插入图片描述

输入表

输入函数

输入函数就是在程序中被调用,但是其代码不在程序中的函数,这些函数的代码位于DLL中。在调用输入函数的程序中,只保留了如函数名及其所在的DLL名等相关信息。对于磁盘上的PE文件来说,输入函数在内存中的地址是多少,这是无法知道的,只有PE文件被装载到内存之后,Windows装载器才将相关的DLL装入,并将调用了输入函数的指令和此函数的地址联系起来。

数据结构

输入表的数据结构是一个IMAGE_IMPORT_DESCRIPTOR结构体的数组,每个被链接到此PE文件的DLL都分别对应于一个IID结构体,整个数组以一个NULL的IID作为结束标志。

IID结构体的定义如下:
在这里插入图片描述

OriginalFirstThunk和FirstThunk

在这里插入图片描述
在这里插入图片描述

OriginalFirstThunk是一个DWORD类型(4B)的变量,实质是一个RVA值,指向一个名为INT(ImportNameTable,导入名称表)的结构。
FirstThunk同理,指向IAT(ImportAddressTable,导入地址表)结构。
IATINT都是IMAGE_THUNK_DATA结构体的数组,每一个IMAGE_THUNK_DATA结构体都定义了一个导入函数的信息,以一个空结构体作为数组结束标志。

IMAGE_THUNK_DATA定义如下:
在这里插入图片描述
它是一个union结构,共占用4B
IMAGE_THUNK_DATA最高位为1时,表示函数是以序号方式输入的,此时,低31位被看作是函数序号。
IMAGE_THUNK_DATA最高位为0时,表示函数以字符串型的函数名方式输入,此时,整个DWORD的值是一个RVA,指向一个IMAGE_IMPORT_BY_NAME结构。

IMAGE_IMPORT_BY_NAME结构体定义如下:
在这里插入图片描述
此结构体存放着输入函数的相关信息,Hint表示函数序号,Name字段定义了导入函数的名称字符串。

小总结

名称意义
IMAGE_DATA_DIRECTORY存放数据目录项(如导入表)的RVA和Size等信息的结构体
IMAGE_IMPORT_DESCRIPTOR每个此结构体都对应于一个被链接到此PE文件的DLL
OriginalFirstThunkDWORD型变量,实质是一个指针,指向导入名称表INT
FirstThunkDWORD型变量,实质是一个指针,指向导入地址表IAT
IMAGE_THUNK_DATAINT和IAT使用的结构体,每个此结构体都直接描述或间接指向了来源于DLL的一个导入函数
IMAGE_IMPORT_BY_NAME函数以字符串类型的函数名方式输入时,其IMAGE_THUNK_DATA指向一个此结构体,此结构体内存着函数序号和导入函数的名称字符串

导入地址表IAT

由上所述,有两个并行的指针数组同时指向IMAGE_IMPORT_BY_NAME结构,第一个是OriginalFirstThunk指向的导入名称表INT,第二个是FirstThunk指向的导入地址表IAT。
之所以有两个,其实是因为在PELoader装载PE文件到内存后,IAT中原本的IMAGE_THUNK_DATA将会被重写为导入函数的地址,如图:
在这里插入图片描述
装载过程简单叙述为:
PELoader首先搜索OriginalFirstThunk,然后迭代搜索其指向的INT中所有的IMAGE_THUNK_DATA,进而找到每个IMAGE_IMPORT_BY_NAME结构所指向的输入函数的名称或序号,然后获得输入函数的RVA,再用所有的函数RVA覆盖原来IAT中的IMAGE_THUNK_DATA。覆盖完成后,输入表中其余部分就不重要了,有IAT足以让程序正常运作。
在这里插入图片描述

实例演示

文件

#include <windows.h>
int main(){
    MessageBox(NULL, "hello", "world", MB_OK);
}

注意以32位方式编译
用LordPE打开
看到输入表的RVA是00006000H
在这里插入图片描述
查看节表,发现此RVA在.idata节
在这里插入图片描述
输入表的RVA相对于.idata节起始位置的偏移量为0,则此节的FileOffset00002400H即为输入表的FileOffset。

换成C32ASM打开PE文件,Ctrl+G跳到此位置,即为输入表的起始位置。
在这里插入图片描述

一个IID结构体是五个DWORD,即20B
此PE文件共有三个IID结构体和一个结束标志,如下

50 60 00 00 00 00 00 00 00 00 00 00 FC 64 00 00 18 61 00 00

A0 60 00 00 00 00 00 00 00 00 00 00 78 65 00 00 68 61 00 00

10 61 00 00 00 00 00 00 00 00 00 00 88 65 00 00 D8 61 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

以第一个IID为例
再来回顾一下其结构
在这里插入图片描述
找到其OriginalFirstThunk值为00006050HFirstThunk值为00006118H
注意是小端方式存储。
将RVA转FileOffset知
INT的FO:2450H
IAT的FO:2518H

先跟踪一下INT
INT的第一个IMAGE_THUNK_DATA如图为000061E0H
在这里插入图片描述
IMAGE_THUNK_DATA最高位为0时,表示函数以字符串型的函数名方式输入,此时,整个DWORD的值是一个RVA,指向一个IMAGE_IMPORT_BY_NAME结构。
将此RVA转FileOffset得25E0H,跟踪下去
在这里插入图片描述
此结构体内,前一个WORD为函数序号,图中为00D4H。然后是函数名,直到遇到一个0x00截止符结束,图中是44 65 6C 65 74 65 43 72 69 74 69 63 61 6C 53 65 63 74 69 6F 6E 00

然后看看IAT,其第一个IMAGE_THUNK_DATA也是61E0H,顺理成章,静态的文件中,INT和IAT指向的是同一个IMAGE_IMPORT_BY_NAME结构体数组
在这里插入图片描述

镜像

这个版本的LordPE在win10下无法显示进程,所以放到xp下做了
先运行此exe
在这里插入图片描述
然后打开LordPE,dump一下,实际相当于保存此exe被加载到内存后的状态
在这里插入图片描述
在这里插入图片描述
使用LordPE打开dump后的dumped_delete.exe,输入表RVA:6000H。
在这里插入图片描述转FileOffset还是6000H
在这里插入图片描述
C32ASM打开,跳到此处
在这里插入图片描述
第一个IID的FirstThunk6118H,则IAT的FO:6118H,跟进,这部分就是IAT了
在这里插入图片描述
与文件中的IAT相比
其内容不再是IMAGE_THUNK_DATA结构体数组,而是被覆盖为导入函数地址了。
用LordPE验证一下,完全符合
在这里插入图片描述

无名J0kзr
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构->【输入】Import【下】
u011513939的博客
06-21 344
输入结构回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。而输入是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。 每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多少个链接
PE结构->【输入】工具包
06-21
Windows操作系统中,PE(Portable Executable)结构是可执行文件和动态链接库(DLL)的标准格式。这个“PE结构->【输入】工具包”显然聚焦于理解并操作PE文件中的“输入”(Import Table)。输入PE文件中...
PE格式详细讲解7 - 系统篇07|解密系列
weixin_33709364的博客
05-26 190
PE格式详细讲解7-系统篇07 让编程改变世界 Change the world by program 捷径并不是把弯路改直了,而是帮你把岔道堵上! 走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇! 岔路会将你引入万劫不复的深渊,并越走越深…… 在开始讲解输入(导入)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前...
关于PE文件——输入
chfsuihan的专栏
01-04 945
什么是输入输入就相当于exe文件与DLL文件沟通的桥梁,形象的可以比喻成两个城市之间交流的高速公路。在PE文件映射到内存后,windows将相应的DLL文件装入,EXE文件通过“输入”找到相应的DLL中的导入函数,从而完成程序的正常运行。 输入的组成与工作原理? 首先大概了解整体的结构: 三个:         ①输入: 对应IMAGE_IMPORT_
PE格式详细讲解8 - 系统篇08|解密系列
weixin_33724659的博客
06-20 120
PE格式详细讲解8-系统篇08 让编程改变世界 Change the world by program 在此之前,我们已经对这个输入进行了一些实践和理解,这有助于大家对这个概念更进一步的加深认识。 小甲鱼觉得,越是复杂的问题我们应该越是去动手操作它,认识它,这样才容易熟悉它! 在上一节课我们像小鹿一样的乱撞,终于撞到了输入里边包含的函数名称,嘿嘿,不过地址,我们...
PE文件结构(三) 输入
billvsme的专栏
10-03 4417
PE文件结构(三) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输入 输入函数示被程序调用但是它的代码不在程序代码中的,而在dll中的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存中的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存中正的地址联系起来。输入(导入)就是用来保存这些函数的信息的。 在 IMAGE_OPT
PE_Api:PE Api Django
04-11
在IT行业中,PE文件格式(Portable Executable)是Windows操作系统上可执行文件的标准格式。这些文件包含了程序运行所需的代码、数据和元信息。PE_Api是一个专门针对PE文件进行分析的API,它基于强大的Web开发框架...
c++获取windows文件版本信息
12-07
PE文件格式Windows可执行文件的标准格式,其中包含了文件的版本信息。我们可以使用如`libpe`这样的库,或者自己解析PE头来获取信息。 PE文件结构中,版本信息存储在`IMAGE_FILE_HEADER`和`IMAGE_OPTIONAL_HEADER`...
IAT输入重建工具[无毒]IATRebulid.exe
01-15
标题中的"IAT输入重建工具"是指用于修复可执行文件(PE文件)中Import Address Table(IAT)的工具。IAT是PE文件格式的一部分,它存储了程序在运行时需要调用的外部函数地址。当PE文件因病毒、恶意软件感染或意外...
输入重建工具
07-18
输入,也称为导入地址(Import Address Table,IAT),是PE(Portable Executable,可移植执行体)格式Windows程序中的一个重要组成部分。它包含了程序运行时需要调用的外部函数的地址。这些函数可能来自操作...
PE文件头格式 详细介绍(BMP图片形式)
12-01
PE文件头格式(BMP图片形式),详细介绍 PE 文件的大致布局,PE 头(PE Header),在 PE 头和真正的 section 资料之间,横躺着一个 section table 。其中内含 image 的 每一个sections 的信息。sections 是以其起始地址来排列,而不是以其字母次序来排列。
PE格式输入
Miibotree
04-15 3178
紧接着上一篇的千里追踪输入,现在终于可以开始看输入里面的神奇东东了。。。 还是copy小甲鱼的课件。。。。 输入结构 回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。而输入是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个
获得PE文件输入和输出
dasgk的专栏
09-02 1857
#include #include #include#pragma comment(lib,"imagehlp.lib")using namespace std;int main(){ char* strExePath="C:\\Windows\\System32\\kernel32.dll"; //打开文件 HANDLE hFile=::CreateFile(strExePath,GENERIC
PE文件详解六:PE详解之输入(导入)详解2
weixin_33809981的博客
01-11 143
输入结构    在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。而输入是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多...
PE导入输入)学习笔记
tzwj1983的博客
03-19 480
导入结构及部分关键代码
PE格式之千里追踪输入
Miibotree
04-15 2760
高数考完了,终于可以轻松的写代码了。哈哈 终于开始写输入了。输入是我们项目的重头戏。首先还是先介绍下输入的基本知识。 自己写的话有点麻烦,还是copy一下小甲鱼辛辛苦苦打出来的课件吧 输入结构 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。而输入是以一个 IM
PE文件输入获取过程
enyblock的专栏
08-01 3376
1.    首先给出这个PE文件的一些16进制代码 dos头的最后一个变量给出PE头的地址:000000E0,由于import table 的数据目录项相对PE头的偏移为80h,故输入的数据目录项在文件中的偏移为00000160 查看00000160偏移地址所对应的内容,前四个字节, 0000C7AC为IMAGE_IMPORT_DESCRIPTOR在内存中的RVA,此时,我
认识Import-PE输入说明
lionzl的专栏
04-15 1146
认识Import-PE输入说明 有很多介绍PE文件的文章,但是我打算写一篇关于输入的文章,因为它对于破解很有用。     我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的,有一个比较小的输入,所以我想它应该是个不错的范例。  
windows PE
最新发布
08-09
Windows PE是一种轻量级的操作系统,用于故障诊断、系统维护和恢复。它可以在计算机启动时运行,而不需要安装到硬盘上。根据引用,要查看可运行的程序,可以在CMD命令行工具中输入"dir *.exe /w"命令来查看。另外,根据引用,许多团队和公司基于Windows PE开发了相对容易使用的软件,这些软件通常具有"一键制作"功能,可以将完整的WinPE系统安装到U盘中。此外,根据引用,WinPE的版本迭代与Windows系统的发展密切相关,最新的WinPE版本是基于Windows 10开发的。除了用于重装系统外,WinPE还可以用于故障诊断、系统维护和恢复等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值