PE文件导入表简介

最新推荐文章于 2024-05-05 13:12:43 发布
最新推荐文章于 2024-05-05 13:12:43 发布
阅读量248 收藏 1
点赞数 2
分类专栏: WIN32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43575859/article/details/104826475
版权

我们在编写程序的时候经常要导入外部的一些函数,通常我们只需要将包含函数的模块导入进来,然后我们直接用函数的名字就可以调用函数了。那么这具体是怎么做到的呢?

当我们使用动态链接库中的函数,只有在程序运行时,库里面的代码才会被调入内存,程序不运行时程序只包含了一些关于要导入的链接库和函数的信息,这些信息就在导入表中。(如果有多个程序使用同一个动态链接库,WIndows在物理内中只留一份库的代码,仅通过分页机制将这份代码映射到不同进程的地址空间中)PE文件被装载的时候, Windows装载器会根据导入表中的某个结构处的RVA找到要导入的函数名,然后再根据这个函数名在内存中找到函数的地址,最后再用函数地址将导入表的又某个结构处的内容替换成真正的函数地址。然后我们我们每次用函数名调用函数的时候,系统就会通过函数名可以直接找到函数地址,然后就调用函数了。

为了方便介绍,先直接放一张导入表在磁盘文件中的大概的样子的图:

 最左边的那一块就是PE文件头中IMAGE_OPTIONAL_HEADER32结构中数据目录索引为0的IMAGE_DATA_DIRECTOYR结构所指向的数据,也就是导入表。导入表由一系列IMAGE_IMPORT_DESCIPTOR结构组成,该结构以一个字段全为0的结构结尾。结构定义如下:

IMAGE_IMPORT_DESCRIPTOR STRUCT
    union
        Characteristics    dd    ?
        OriginalFirstThunk dd    ?
    ends
    TimeDateStamp          dd    ?
    ForwarderChain         dd    ?
    Name1                  dd    ?
    FirstThunk             dd    ?
IMAGE_IMPORT_DESCRIPTOR ENDS

首先要说明一下,一个IMAGE_IMPORT_DESCRIPTOR结构只表示一个动态链接库里面的函数,所以数据目录所指向的是一系列导入表结构的一个起始RVA。然后导入表函数里面最重要的三个字段:OriginalFirstThunk,Name1,FirstThunk,其中第二个字段存储的是一个指向导入库名称的RVA。然后第一个字段和第三个字段也都是一个RVA,它们都指向包含导入函数的信息的结构,并且他们指向的结构是相同的,也就是说导入表里面有两个相同的结构。但是这两个相同的结构在文件装载进内存后又会变得不一样。下面就来介绍一下这个结构。

包含导入函数信息的结构也是一个结构只包含一个导入函数的信息,所以OriginalFirstThunk和FirstThunk指向的都是一系列导入函数结构的起始RVA。该结构以一个字段全为0的结构结尾。结构的定义如下:

IMAGE_THUNK_DATA    STRUCT
    union u1
        ForwarderString    dd    ?
        Function           dd    ?
        Ordinal            dd    ?
        AddressOfData      dd    ?
    ends
IMAGE_THUNK_DATA    ENDS

可以看到这个结构的定义是用了一个共用体,所以其实这个结构的大小就是一个双字。导入函数有两种方式,一种是通过序号导入,一种是通过函数名称导入。当双字(也就是这个结构)的高位为1时,这个函数以序号的方式导入,这时双字的低位就是函数的序号。当双字的高位为0时,这个函数以函数名的方式导入,双字表示一个RVA,这个RVA又指向一个结构,这个结构用来定义导入函数名。这个结构的定义如下:

IMAGE_IMPORT_BY_NAME    STRUCT
    Hint    dw    ?
    Name1   db    ?        ;因为这里字节数是不确定的,并不是一个字节
IMAGE_IMPORT_BY_NAME    ENDS

第一个字段Hint存储的是函数的序号,不过这个是个可选字段。第二个字段Name1就是函数的名称字符串了。之前说到IMAGE_IMPORT_DESCRIPTOR结构中的OriginalFirstThunk和FirstThunk都是指向相同的IMAGE_THUNK_DATA数组,但是为什么要有两个相同的导入函数结构数组呢?原因是PE文件在磁盘文件中时导入表中只包含导入函数的序号或者名称,只有在被Windows装载器装入内存时函数的地址才被加进来,这时,FirstThunk指向的IMAGE_THUNK_DATA数组里面的内容就全都被替换成相应的真正的函数的地址,所以上面说两个相同的结构在装载进内存后又会变得不一样。之所以要保留一个原来的结构是方便反过来可以通过函数地址查找函数的名称。导入表装载进内存后的样子如下图:

 这个被真正的函数地址替换后的IMAGE_THUNK_DATA结构数组现在叫做导入地址表(IAT),通过数据目录中索引值为12的项也可以找到这个导入地址表的起始RVA。

那么知道了这些信息后就可以写一个小程序来显示PE文件中导入表的信息了。资源和框架和上个显示PE文件头结构的程序是一样的,所以这里就只给出功能实现部分的代码。

因为我们对文件的所有操作都是基于用内存映射文件函数将文件映射到内存后来的,所以这个文件此刻的排列偏移都是和在磁盘上的一样,但是我们只有数据的RVA,没有数据在文件中的偏移。所以我们需要一个函数来将数据的RVA转换为在文件中的偏移(文件头不需要,因为文件头从磁盘装载到内存时不进行任何处理,就没有那些对齐操作)。

那么这个函数怎么实现呢?我们可以通过取得数据的RVA和该数据所在的节的RVA的差,得到该数据相对于所在节的偏移,然后我们将这个偏移加上该节在文件中的偏移,就得到了该数据在磁盘文件中的偏移。但是我们要怎么确定该数据在哪个节呢?我们可以用该节的节表中的VirtualAddress字段加上SizeOfRawData字段得到这个节的数据的结尾。为什么要拿RVA加上磁盘文件中的大小呢?因为我们是用RVA来进行转换,所以首先区间的小端得是RVA,所以用的是VirtualAddress,然后其实节在内存中对齐或在文件中对齐都是在后面填0,前面有用的数据并没有动,所以节在内存中的RVA加上节在文件中对齐后的大小依然能够包括这个节的所有有用数据。所以利用这个,我们循环操作每个节,看看要转换的RVA是否在这个节里面,在的话就按照上述转换一下然后返回。

然后我们还需要一个函数用来获取数据所在节的名称,原理和上面一样。

这个两个函数单独放在一个文件中,因为它们在其他程序中也用得到。

然后显示导入表的信息就比较简单了,通过NT文件头中IMAGE_OPTIONAL_HEADER32结构中的数据目录得到导入表的起始RVA后,通过OriginalFirstThunk找到导入函数结构数组,然后循环处理数组内容,如果双字高位是1,那么就显示函数序号,如果是0,则通过这个RVA再定位到IMAGE_IMPORT_BY_NAME结构数组,然后显示序号和函数名字。这一个IMAGE_IMPORT_DESCRIPTOR结构的导入函数信息全部显示完后定位到下一个IMAGE_IMPORT_DESCRIPTOR结构,循环显示完所有导入表信息。

转换RVA以及找出数据所在节的函数:

				.const
szNotFound		db		'无法查找',0
				.code
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;将RVA转换成文件偏移
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_RVAToOffset	proc	_lpFileHead,_dwRVA			;文件读取到内存后的起始位置和数据的RVA
				local	@dwReturn
				
				pushad
				mov		esi,_lpFileHead
				assume	esi:ptr IMAGE_DOS_HEADER	;将文件起始位置与DOS文件头的结构联系到一起
				add		esi,[esi].e_lfanew			;加上PE文件头的偏移量,得到PE文件头的位置
;*************************************************************************************************************
;得到文件头的位置,它再加上文件头的长度就是节表的位置
;*************************************************************************************************************
				assume	esi:ptr IMAGE_NT_HEADERS	;将PE文件头的位置与PE文件头的结构联系到一起
				mov		edi,_dwRVA
				mov		edx,esi
				add		edx,sizeof IMAGE_NT_HEADERS	;将PE文件头的位置加上PE文件头的大小得到节表的位置
				assume	edx:ptr IMAGE_SECTION_HEADER
				movzx	ecx,[esi].FileHeader.NumberOfSections	;获取节的数目
;**************************************************************************************************************
;扫描每个节并判断RVA是否位于这个节里面
;**************************************************************************************************************
				.repeat
						mov		eax,[edx].VirtualAddress		;获取节表中第一个结构指向的节的相对虚拟偏移地址
						add		eax,[edx].SizeOfRawData			;获取节表中第一个结构指向的节的末尾的虚拟偏移地址
						.if		(edi >= [edx].VirtualAddress) && (edi < eax)	;如果要查找的数据的位置在这个节里面
								mov		eax,[edx].VirtualAddress;获取节表中第一个结构指向的节的相对虚拟偏移地址
								sub		edi,eax					;获取数据相对于数据所处的节的起始位置的偏移量
								mov		eax,[edx].PointerToRawData	;获取该节在磁盘文件中的偏移
								add		eax,edi					;节在磁盘中的偏移加上数据相对于节的起始位置的偏移,得到数据在磁盘中的真正偏移
								assume	edx:nothing
								assume	esi:nothing
								jmp		@F
						.endif
						add		edx,sizeof	IMAGE_SECTION_HEADER	;加上一个节表结构的长度得到下一个节表结构的位置
				.untilcxz
				assume	edx:nothing
				assume	esi:nothing
				mov		eax,-1			;如果节中没有该数据则返回-1
@@:
				mov		@dwReturn,eax
				popad
				mov		eax,@dwReturn
				ret
_RVAToOffset	endp
;*******************************************************************************************************************
;获取RVA所在的节的名称
;*******************************************************************************************************************
_GetRVASection	proc	_lpFileHead,_dwRVA
				local	@dwReturn
				
				pushad
				mov		esi,_lpFileHead
				assume	esi:ptr IMAGE_DOS_HEADER
				add		esi,[esi].e_lfanew
				assume	esi:ptr IMAGE_NT_HEADERS
				mov		edi,_dwRVA
				mov		edx,esi
				add		edx,sizeof	IMAGE_NT_HEADERS
				assume	edx:ptr IMAGE_SECTION_HEADER
				movzx	ecx,[esi].FileHeader.NumberOfSections
;******************************************************************************************************************
;扫描每个节区并判断RVA是否位于这个节内
;******************************************************************************************************************
				.repeat
						mov		eax,[edx].VirtualAddress
						add		eax,[edx].SizeOfRawData
						.if		(edi >= [edx].VirtualAddress) && (edi < eax)
								mov		eax,edx					;将节表结构的起始位置放入AX(就是节的名称)
								jmp		@F
						.endif
						add		edx,sizeof	IMAGE_SECTION_HEADER
				.untilcxz
				assume	edx:nothing
				assume	esi:nothing
				mov		eax,offset szNotFound
@@:
				mov		@dwReturn,eax
				popad
				mov		eax,@dwReturn
				ret
_GetRVASection	endp

功能实现代码:

				.const
szMsg	db		'文件名: %s',0dh,0ah
		db		'-------------------------------------------------------',0dh,0ah
		db		'导入表所处的节:%s',0dh,0ah,0
szMsgImport		db		0dh,0ah
		db		'-------------------------------------------------------',0dh,0ah
		db		'导入库:%s',0dh,0ah
		db		'-------------------------------------------------------',0dh,0ah
		db		'OriginalFirstThunk %08X',0dh,0ah
		db		'TimeDateStamp	   %08X',0dh,0ah
		db		'ForwarderChain	   %08X',0dh,0ah
		db		'FirstThunk         %08X',0dh,0ah
		db		'-------------------------------------------------------',0dh,0ah
		db		'导入序号  导入函数名称',0dh,0ah
		db		'-------------------------------------------------------',0dh,0ah,0
szMsgName		db		'%8u  %s',0dh,0ah,0
szMsgOrdinal	db		'%8u  (按序号导入)',0dh,0ah,0
szErrNoImport	db		'这个文件不适用任何导入函数',0

				.code
include			_RvaToFileOffset.asm
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_ProcessPeFile	proc	_lpFile,_lpPeHead,_dwSize							;内存映射文件指针,PE文件头指针,文件大小
				local	@szBuffer[1024]:byte,@szSectionName[16]:byte
				pushad
				mov		edi,_lpPeHead
				assume	edi:ptr IMAGE_NT_HEADERS
;********************************************************************************************************************
				mov		eax,[edi].OptionalHeader.DataDirectory[8].VirtualAddress			;将数据目录中指向导入表的结构的第一个字段(就是导入表的起始RVA)放入AX
				.if		! eax																;如果没有导入表
						invoke	MessageBox,hWinMain,addr szErrNoImport,NULL,MB_OK
						jmp		_Ret
				.endif
				invoke	_RVAToOffset,_lpFile,eax											;将读入到内存后文件的起始地址和导入表的RVA作为参数得到导入表在文件中的偏移
				add		eax,_lpFile															;将偏移加上文件起始位置得到导入表的地址
				mov		edi,eax
				assume	edi:ptr	IMAGE_IMPORT_DESCRIPTOR										;导入表结构
;********************************************************************************************************************
;显示文件名以及节的名称
;********************************************************************************************************************
				invoke	_GetRVASection,_lpFile,[edi].OriginalFirstThunk						;获取导入表所在的节的名称
				invoke	wsprintf,addr @szBuffer,addr szMsg,addr szFileName,eax				;写入文件名以及节的名称
				invoke	SetWindowText,hWinEdit,addr @szBuffer
;********************************************************************************************************************
;循环处理IMAGE_IMPORT_DESCRIPTOP直到遇到全0的则结束
;********************************************************************************************************************
				.while	[edi].OriginalFirstThunk || [edi].TimeDateStamp || \					;当内容不全为0时进入循环
						[edi].ForwarderChain || [edi].Name1 || [edi].FirstThunk
						invoke	_RVAToOffset,_lpFile,[edi].Name1							;获取导入表所指向的动态链接库的名字的字符串在文件中的偏移
						add		eax,_lpFile													;获取动态链接库的名字的字符串在文件中的地址
						invoke	wsprintf,addr @szBuffer,addr szMsgImport,eax,\
								[edi].OriginalFirstThunk,[edi].TimeDateStamp,\
								[edi].ForwarderChain,[edi].FirstThunk						;将导入表的结构的信息写入
						invoke	_AppendInfo,addr @szBuffer									;显示信息
;********************************************************************************************************************
;获取IMAGE_THUNK_DATA列表地址
;********************************************************************************************************************
						.if		[edi].OriginalFirstThunk
								mov		eax,[edi].OriginalFirstThunk								;将指向导入函数的结构的地RVA填入AX
						.else
								mov		eax,[edi].FirstThunk
						.endif
;**********************************************************************************************************************

						invoke	_RVAToOffset,_lpFile,eax											;获取导入函数结构在文件中的偏移
						add		eax,_lpFile
						mov		ebx,eax
;********************************************************************************************************************
;循环处理所有的IMAGE_THUNK_DATA
;********************************************************************************************************************
						.while	dword ptr [ebx]
;********************************************************************************************************************
;按序号导入
;********************************************************************************************************************
								.if		dword ptr [ebx] & IMAGE_ORDINAL_FLAG32						;判断导入函数结构是按序号还是按函数名字,如果是按序号
										mov		eax,dword ptr [ebx]
										and		eax,0FFFFh											;将高位清0
										invoke	wsprintf,addr @szBuffer,\
												addr szMsgOrdinal,eax
								.else
;********************************************************************************************************************
;按函数名导入(则导入函数结构是IMAGE_IMPORT_BY_NAME的RVA
;********************************************************************************************************************
										invoke	_RVAToOffset,_lpFile,dword ptr [ebx]				;获取导入函数结构在文件中的偏移
										add		eax,_lpFile
										assume	eax:ptr IMAGE_IMPORT_BY_NAME
										movzx	ecx,[eax].Hint										;序号
										invoke	wsprintf,addr @szBuffer,\
												addr szMsgName,ecx,addr [eax].Name1  
										assume	eax:nothing
								.endif
								invoke	_AppendInfo,addr @szBuffer									;将信息显示出来
								add		ebx,4														;移到下一个导入函数的结构的位置
						.endw
						add		edi,sizeof IMAGE_IMPORT_DESCRIPTOR									;移动到下一个导入表结构的位置
				.endw
;***********************************************************************************************************************
_Ret:
				assume	edi:nothing
				popad
				ret
				
_ProcessPeFile	endp

编译链接后运行就是这个样子:

虾仁炖猪心
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件导入
weixin_43742894的博客
04-01 1765
一个PE文件中的导入,简单来说就是代了该模块调用了哪些外部的API。 导入是逆向和病毒分析中比较重要的一个,在分析病毒时几乎第一时间都要看一下程序的导入的内容,判断程序大概用了哪些功能。
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE文件导入,动态链接库中的函数应该如何导入
最新发布
m0_62102520的博客
05-05 688
探索者安全团队技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用本公众号所提供的技术和信息而造成的任何直接或者间接的后果及损失,均由使用者。
PE文件导入
LX的专栏
09-26 1000
<br />   在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .idata 段,等等。文本讲述的是把一个PE文件导入打印出来。我注意到 MS 提供了一个
PE文件导入详解
只为改变自己
05-03 1116
PE导入详解
PE文件导入解析
做一个快乐学习者
05-31 322
#include <Windows.h> #include <iostream> #include <string> #include <fstream> #include <memory> using namespace std; int rva_to_file(PIMAGE_SECTION_HEADER pSection,int...
修复PE 文件导入
09-02
"PEConsole"可能是一个包含示例代码的VS2003工程,提供了修复PE文件导入的功能。通过查看和学习这个工程,我们可以更深入地理解导入的结构以及如何进行修复操作。在实际应用中,这样的工具对于调试、逆向工程、...
PE文件导入解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件导入,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
PE.rar_PE导入_pe_导入
09-24
分析PE,查看PE文件导出导入
PE文件导入
03-29
打印PE文件导入信息 vs2005编译通过;
获取PE文件导入
04-02
获取PE文件导入中模块和API信息的源代码
PE文件 - 导入
weixin_45012273的博客
11-11 1254
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE文件导入
bailing1370的博客
07-16 192
1、数据目录第二个成员指向导入IMAGE_DATA_DIRECTORY[1] ->IMAGE_DIRECTORY_ENTRY_IMPORT。 2、导入以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始。并且一个DLL文件对应一个IID结构,最后以一个全0的IID结构作为结尾。有多少个IID就有多少个DLL被导入。 1 struct _IMAG...
PE文件(1)导入
nyzdmc的博客
03-02 726
PE文件(1)导入 概念 导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。 对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 文件被装入内存后,Windows的 加载器才将相关DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来。 这就是“动态链接”的概念。动态链接是通过PE 文件...
PE文件:(3)导入
weixin_43972499的博客
04-07 342
导入导入的概念导入的结构手动加载导入参考代码 导入的概念   可执行文件在进行加载时,需要导入一些动态库,即Dll文件。通过导入这些动态库,我们可以使用文件中提供的函数和功能,来为我们的可执行文件服务。这些Dll中的函数就称为导入函数。为了记录需要的动态库和导入函数,可执行文件在可选头的数据目录中维护了一张,这张记录了文件需要的所有动态库以及导入函数的信息,方便Windows加载器在加载PE文件时使用。这张就是所谓的导入,它被存储在数据目录的第二项。   可执行文件在使用动态库中的函数和代
12.PE文件导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5466
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件学习--导入
KOOKNUT的博客
06-27 482
写在前面的话:今年疫情在家,才开始在CSDN与各位大佬们分享交流技术,最近一个月返校之后,一直忙碌于学校课设和期末考试的备考(毕竟平时不怎么听课),所以博客几乎一个多月没有更新,最近只剩下一门考试了,今天小库又回来了。 之前有关PE文件的知识好像更新到了导出,今日来看看导入。 我们提到导入,最常说的就是导入的双桥结构 先来看一下导入描述符结构体IMAGE_IMPORT_DESCRIPTOR typedef struct _IMAGE_IMPORT_DESCRIPTOR { union
PE-导入
megaparsec
12-19 1930
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件解析(4):导入的解析
ylh的博客
11-01 850
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
golang 实现pe文件格式的导入查询
05-30
要实现Pe文件格式的导入查询,可以使用Golang的debug/pe包。下面是一个简单的示例代码: ```go package main import ( "debug/pe" "fmt" "os" ) func main() { if len(os.Args) != 2 { fmt.Println("Usage: pe_imports <exe/dll>") os.Exit(1) } file, err := pe.Open(os.Args[1]) if err != nil { fmt.Println("Error opening file:", err) os.Exit(1) } defer file.Close() imports, err := file.ImportedSymbols() if err != nil { fmt.Println("Error getting imported symbols:", err) os.Exit(1) } fmt.Printf("Imported symbols for %s:\n", os.Args[1]) for _, symbol := range imports { fmt.Printf("%s (from %s)\n", symbol.Name, symbol.Library) } } ``` 运行该程序,并传递一个PE文件的路径作为参数,即可输出该PE文件导入信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值