PE文件:绑定导入表

最新推荐文章于 2024-07-25 17:47:24 发布
最新推荐文章于 2024-07-25 17:47:24 发布
阅读量413 收藏 1
点赞数 1
分类专栏: PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/105252663
版权
本文介绍了PE文件中的绑定导入表,旨在加快程序加载速度,通过保存导入函数的实际地址,减少加载时间。内容包括绑定导入表的作用、生效前提及结构,详细解析了IMAGE_BOUND_IMPORT_DESCRIPTOR结构和其在DLL转发中的应用。
摘要由CSDN通过智能技术生成

0x00 作用

绑定导入表是为了加快程序的加载程序,因为正常PE加载的时候,要去检查导入表并将相关的DLL映射到进程空间地址,并将导入表的FirstThunk指向的数组填入函数的真实地址,这一步需要花费很多时间,绑定导入表就是为了解决此环节的问题,绑定导入表中保存了导入函数的真实地址,PE加载的时候系统会检测是否有绑定导入表,就会直接将函数地址写入FirstThunk。
但是绑定导入表的生效,有两个前提条件:
1.程序初始化时,导入的DLL都加载到了首选基址中
2.程序执行了绑定导入操作以后,导入DLL中引用的符号位置一直没有变化

俩个条件有一个不符合的话,就不可以绑定,

0x01 结构

数据目录表( DataDirectory )的第12个成员
它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录表就是这种结构的数组,每一项都对应一个被绑定过的DLL。

typedef	    struct _IMAGE_BOUND_IMPORT_DESCRIPTOR {
    
		DWORD TimeDateStamp; 
		WORD OffsetModuleName;
 		WO
最低0.47元/天 解锁文章
王大碗Dw
关注
专栏目录
解析绑定导入
hambaga的博客
05-22 822
一、绑定导入的作用 有些windows程序,如notepad,为了提高加载速度,会直接把DLL中的函数地址写入到IAT,省去了加载时的计算。但是这样会有两个问题,第一,当DLL没有占住ImageBase时,IAT中的地址就是错的;第二,当链接的DLL被修改了,那IAT里写的地址也是错的。遇到这两种情形之一,加载时就必须修复IAT了。 对于第二种情形,DLL是否被修改,是根据比较DLL的时间戳和绑定导入中的记录的DLL时间戳来判断的,如果不一致,说明DLL被修改了。 加载程序时,操作系统根据导入中的时
PE知识复习之PE绑定导入
weixin_30352645的博客
10-05 175
                    PE知识复习之PE绑定导入 一丶简介   根据前几讲,我们已经熟悉了导入结构.但是如果大家尝试过打印导入的结构. INT IAT的时候. 会出现问题. PE在加载前 INT IAT都指向一个名称. 这样说是没错的. 但是如果你打印过导入.会发现一个问题. 有的EXE程序.在打印IAT的时候.发现里面是地址. 原因:   我们的PE程...
PE文件(十二)导入与IATHOOK
最新发布
2301_78838647的博客
07-25 972
此时就可以修改IAT了。当一个PE文件(如.dll/.exe等)需要使用别的模块的函数,也叫做依赖某模块,就需要一个清单来记录使用的模块(一般为.dll文件,为方便理解,以后我们将模块都认为是.dll文件)及使用的函数的相关信息(如使用了哪些DLL、使用了这个DLL里的哪些函数、叫什么名、去哪找等),这个清单就叫做导入。元素现形式不同的原因:一个.DLL中的函数可以以函数名称导出,也可以以序号(NONAME)导出,所以当一个PE文件使用别的.DLL中的函数时要考虑这个函数的名字和序号两种情况。
PE文件绑定导入
fa1c4的blog
03-08 231
BOUND IMPORT TABLE 绑定导入是一种提高DLL加载速度的技术. 对于PE文件而言是可选项, 不是必须. 当修改PE文件时, 如果添加导入的DLL文件, 需要注意有没有绑定导入, 如果有需要删除或修改绑定导入, 否则会运行时出错. PEview查看绑定导入 Winhex查看相应位置 ...
PE结构(四) 绑定导入
weixin_37673331的博客
02-29 519
1.关于绑定导入 一般情况下,在程序加载前IAT和INT中的内容相同,都是程序引用的dll中的函数的函数名或序号; 加载完成后IAT中将替换为函数的真正地址; 但在加载前IAT中直接写绝对地址是可以实现的; 加载前在IAT中保存绝对地址的优点:启动程序快; 在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT修复为地址等等; 如果直接用绝对地址,则省去了修复IAT的操作...
13.PE文件绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3998
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
PE文件解析-加载配置绑定导入导入地址与延迟导入
zhyulo的博客
01-06 1665
一、加载配置 1.位置与简介     载入配置早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。     后来以XP及以后的系统主要是为了存储SEH句柄,称为安全结构化异常处理程序列,如果SEH异常处理没有经过注册,在载入配置中没有句柄,这个异常处理就不会被执行。     据微软官方说明,这个载入配置的作用是为了防止“x86异常处理程序劫持”的漏洞。因为...
PE结构:导入中的双桥结构
weixin_43742894的博客
05-15 1160
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件导入》:https://blog.csdn.net/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
滴水逆向——PE打印绑定导入
sunr.
04-15 582
1.绑定导入结构 2.定位绑定导入 3.注意: IMAGE_IMPORT_DESCRIPTOR结构中的TimeDateStamp可以知道一个DLL有没有被绑定。TimeDateStamp为0,即未绑定;为-1即为绑定。 当IMAGE_BOUND_IMPORT_DESCRIPTOR结构中的TimeDateStamp与DLL文件标准PE头中的TimeDateStamp...
PE文件格式学习(十四):绑定导入
11-08 199
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导...
关于绑定导入
abns44296的博客
03-24 765
0x01 绑定导入概念 绑定导入(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入并将相关DLL映射到进程空间地址。然后通过遍历IA...
绑定导入
lygl35的博客
02-28 96
PE文件学习笔记(五):导入、IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
导入绑定导入
weixin_43990313的博客
07-29 389
导入 概述 导入是用来存储应用程序需要的利用的模块以及模块内的函数的结构。记录了模块的信息和函数的信息。 结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向IMAGE_THUNK_DATA结构 }; DWOR
PE文件格式学习(十四):绑定导入(BoundImportDirectory)
tutucoo
11-08 915
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导入的DLL...
PE结构&绑定导入实现
寻梦&之璐
02-04 7746
简介 作用 绑定导入是一种提高PE加载速度的技术。它只能起辅助性作用,它的存在与否只影响加载过程,并不影响PE的最终加载结果和运行结果。 为什么说是辅助性呢? 因为不同的操作系统中,动态链接库的基地址是不一样的。举个例子,kernel32.dll,在Windows 2000中其加载到进程空间的基地址为0x77e60000,而在Windows XP SP3中其加载地址则是0x7c800000。同一动态链接库加载后处于不同的基地址,直接导致了同一个导入函数在不同操作系统中其导入地址VA是不一样的。 因此经过绑定
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值