IAT表、导入表(滴水)

最新推荐文章于 2021-11-10 22:22:36 发布
最新推荐文章于 2021-11-10 22:22:36 发布
阅读量380 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43878285/article/details/106045983
版权

IAT表

我们用OD查看程序中调用API时是4070BC中存储的值
在这里插入图片描述
4070BC中存储的是一个函数地址,这个地址是一个dll提供的空间
在这里插入图片描述
文件对齐和内存对齐相同
我们在文件中查看70bc调用的地址是7604
在这里插入图片描述
7604中存储的是MessageBox,是函数名称
可以看出程序运行前和运行后不同
是使用了动态链接库,动态链接库只有在程序运行时才会加载到程序中
如果调用是我们自己写的程序,地址都是写死的
在这里插入图片描述
为了防止dll文件重定位,所以调用dll中函数时不能将地址直接确定
所有dll加载完后,在确定地址

导入表

导入表在目录项中的第二项
在这里插入图片描述
IMAGE_THUNK_DATA可以用来表示函数名,也可以表示函数导出序号

在这里插入图片描述
程序真正加载后系统调用GetProcAddress函数获得INT表中函数地址放入IAT表中
在这里插入图片描述
NAME只有一个字节,是第一个字符,沿着一直往后找,一直到0
在这里插入图片描述

若面朝大海便祝你春暖花开
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入了解IAT原理
weixin_30354675的博客
06-15 409
---------------------------编辑时突然死机自动保存也没有用真的痛苦回头补上------------------ 输入中的这些间接跳转是无法正常运行的,因为在正常情况,操作系统必须知道指向各个API函数名称字符串的指针,然后通过GetProcAddress定位到各个API函数正确的入口地址并填充到IAT中,这样这些间接跳转才能起作用。可我们脱壳之后没有这些指...
PE格式第四讲,数据目录导入,以及IAT
weixin_30682127的博客
10-13 198
           PE格式第四讲,数据目录导入,以及IAT 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶IAT(地址) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 他会Call 下边的Jmp位置 而Jmp位置...
PE导入IAT的原理及工作关系
qq_35289660的博客
07-14 4728
PE导入IAT的原理及工作关系 文章目录PE导入IAT的原理及工作关系0.说明1.PE导入IAT大致工作关系(1)为什么会有IAT(2)为什么会有导入2.导入IAT的真正关系(原理)(1)OriginalFirstThunk(2)Name(3)FirstAddress3.C语言解析导出(1)建议(2)C源代码4.移动导出到新增节区(1)流程(2)我遇到的困难(3)C源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水
滴水逆向三期 PE基础 导入解析
四位的博客
05-17 655
假的分析 在学习这节的时候第一遍并没有弄懂到底怎么回事, 等遍历完了再回头去看才懂, 推荐可以先把打印出来再体会结构. 真的分析 软件依然是某云音乐的主程序. 按照顺序依次为 1 遍历 _IMAGE_IMPORT_DESCRIPTOR 2 遍历OriginalFirstThunk中的ThunkValue偏移 3 遍历打印ThunkValue(本身还是偏移) 4 遍历IMAGE_THUNK_DATA32(ThunkValue所指向的值) 1 打印重要基础数据 while (pImportDescrip
滴水逆向三期实践17:导入注入
Rivival_S 的博客
11-10 2391
在动态链接库一章提到DllMain,这里再回顾一次 当dll被加载进4GB空间时,会调用一次DllMain(入口方法) 当程序执行完了要把dll从4GB空间被卸载,也会调用一次DllMain 注入的本质就是想方设法把自己的dll扔到别人进程的4GB空间里 而前面导入一章在最后提到,只有在PE文件内隐式调用(静态使用)时才会在调用者PE文件的导入内出现该 dll 的名字和相关函数,若为显示调用(动态使用),则这个被调用的dll名和相关函数不会在调用者导入内出现。 那么反过来也就是说,写
逆向软件后,手把手教你如何修复IAT
最新发布
10-31
逆向软件后,教你手把手修复IAT
导入地址.zip
06-02
访问当前模块的导入段。
iat导入hook的c++源码
09-14
iat导入hook的c++源码
iat输入hook的源码
09-14
iat输入hook的源码
IAT注入模块
07-30
对应于文章的IAT注入模块的示例,自己写的例子,直接可以运行。
通过修改DLL文件的IAT(函数导入)来实现api hook的源码
03-28
一个通过修改DLL文件的IAT来实现的hook开发包源码
获取进程中导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
OD使用之查找 API的方法
nethm的专栏
09-26 9333
一    反汇编窗口,右键--查找--当前模块中的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
解析导入IAT
hambaga的博客
05-21 1728
一、导入的结构 导入的结构看起来复杂,其实只是套娃,不要被它吓到了。 导入的定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
滴水逆向——PE导入注入
sunr.
04-19 1079
1.注入概念: 2.导入注入流程: 第一步: 根据目录项(第二个就是导入)得到导入信息: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMA...
IAT
crkres9527
09-27 605
A、初识IAT     B、IAT相关结构     C、读出IAT项     D、编写代码测试分析       E、HOOK IAT     F、测试分析 A、认识IAT 导入函数 B、IAT相关结构 PIMAGE_DOS_HEADER //->e_lfanew //PE文件头偏移值 PIMAGE_NT_HEADERS //->OptionalHeade...
IAT详解
cay22的专栏
02-05 7810
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
在OllyDbg中如何找出B模块中所有调用了A模块的C方法的地方
JUST DO IT.
04-18 2431
首先我们要知道如果是调用本模块方法,知道该方法在本模块的输出地址后,按下ctrl+s,输入call 函数地址,即可找到。但如果是调用其他模块方法的话必须多做一些事情。 下面以寻找xx模块所有调用了bdertl60模块的FlushBuffers方法地方为例。 首先找到FlushBuffers方法在xx模块中的地址:0133A49C xx  .idata     输入       
note : OD操作整理-API断点的设置;寄存器的修改;数据的查看
谢绝留言与私信
05-04 4063
中断的设置 断点列和代码的切换 断点的操作与切换 转到达式, 用于在汇编窗口直接查找API 查找程序中使用的API,并对关注的API下端点. 确定在程序领空内. 需要在主程序领空查看API列. 如果在系统DLL中, 查看的API列就是那个DLL调用的API列. 可以在程序入口点到主视图或主对话框出来之前, 查看主程序用到的API列. 也
windows的IAT
07-28
Windows操作系统中的IAT(Import Address Table,导入地址)是用于动态链接库(DLL)的函数导入和调用的重要数据结构之一。它存储了DLL中需要被调用的函数的地址,使得在程序运行时可以动态地解析和调用这些函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值