绑定导入表

最新推荐文章于 2023-04-19 23:58:22 发布
最新推荐文章于 2023-04-19 23:58:22 发布
阅读量215 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43878285/article/details/106132986
版权

我们之前分析过导入表,在PE文件加载前IAT表和INT表相同,只有文件加载后才能根据INT表通过序号或名称使用GetProcessAddress函数获得函数地址贴到IAT表中
我们观察记事本程序,记事本程序在PE文件加载前就把函数地址贴到IAT表中了。这种情况叫做绑定导入表
这样做的好处是程序运行快,坏处是万一dll没有占住要使用的ImageBase,会出现错误,还有万一dll被修改了,值会发生改变
如果导入表中的时间戳为0代表dll的所有函数地址还没有绑定,当时间戳为-1时,意味着函数地址已经被绑定
那么真正的绑定时间在哪呢,是在绑定导入表中
在这里插入图片描述
在这里插入图片描述
绑定导入表在数据目录的第12项
绑定导入表的第一项就是时间戳,第二项是dll名称,第三项是这个dll使用了多少dll,因为我们调用的系统函数也会调用别的dll
每一个结构中的OffsetModuleName需要加上第一个绑定导入表的地址才是真正的dll名称
一个绑定导入表后跟的不是下一个绑定导入表,而是这个dll引用的别的dll
在这里插入图片描述
最后一项是一个全0的结构
在这里插入图片描述
在这里插入图片描述

若面朝大海便祝你春暖花开
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析绑定导入
hambaga的博客
05-22 805
一、绑定导入的作用 有些windows程序,如notepad,为了提高加载速度,会直接把DLL中的函数地址写入到IAT,省去了加载时的计算。但是这样会有两个问题,第一,当DLL没有占住ImageBase时,IAT中的地址就是错的;第二,当链接的DLL被修改了,那IAT里写的地址也是错的。遇到这两种情形之一,加载时就必须修复IAT了。 对于第二种情形,DLL是否被修改,是根据比较DLL的时间戳和绑定导入中的记录的DLL时间戳来判断的,如果不一致,说明DLL被修改了。 加载程序时,操作系统根据导入中的时
单输入绑定
唯美清泠
01-02 144
文章目录单输入绑定绑定的属性和事件单元素绑定input绑定textarea绑定checkbox绑定radio绑定select绑定修饰符 单输入绑定 v-model指定可以实现单值与属性的双向绑定.即单元素中更改了值会自动的更新属性中的值,属性中的值更新了会自动更新单中的值.如下面代码所示,在input里输入数字,按钮上的值会变化.点击按钮,input里的数字也发生了改变,这就是双向绑定...
关于绑定导入
abns44296的博客
03-24 746
0x01 绑定导入概念 绑定导入(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入并将相关DLL映射到进程空间地址。然后通过遍历IA...
滴水三期:day40.1-绑定导入
Edimade的博客
04-19 354
一、引入绑定导入 > 二、绑定导入(1.定位 > 2.绑定导入结构 > 3.作用)> 三、作业(1.打印绑定导入
13.PE文件之绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3862
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
修复PE 文件导入
09-02
在程序加载到内存时,操作系统会根据导入对这些函数进行解析和绑定,以便程序能够正确执行。 修复PE文件的导入通常是因为某些原因导致导入损坏或不完整,例如病毒攻击、恶意软件篡改或文件传输过程中出现问题...
IIS导入绑定pfx证书
08-02
本篇文章将详细讲解如何使用C#编程语言在IIS服务器上导入绑定PFX证书,以实现SSL功能。 首先,PFX(Personal Information Exchange)是一种包含私钥和公钥的证书文件格式,常用于存储服务器证书。在IIS中,导入...
PE导入-函数列-HASH值
03-13
"PE导入"是PE文件格式的一个关键组成部分,它记录了程序在运行时需要调用的外部函数所在的动态链接库(DLL)及其具体函数地址。 1. **PE导入** PE导入是一个数据结构,它告诉操作系统程序需要哪些DLL以及在...
Excel导入导出
04-28
"Excel导入导出"这个主题涉及到如何将Excel数据与其他应用程序或系统进行交互,包括读取Excel数据到程序中处理,以及将处理后的数据写回Excel文件。以下是关于这个主题的详细知识点: 1. **数据导入**: - **...
获取PE文件的导入
04-02
获取PE文件的导入中模块和API信息的源代码
web导入_导入_
09-29
对于大量数据导入,考虑使用存储过程、临时、批量插入等方式提高导入速度。同时,合理使用索引和分区策略,减少导入对数据库的影响。 10. **安全性**: 考虑到数据安全,确保文件上传路径安全,防止文件覆盖或...
滴水逆向三期实践17:绑定导入
Rivival_S 的博客
11-10 1150
上一章最后讲到,打印导入时如果打印的某些 exe 比如 xp系统自带的 记事本 即notepad.exe(win10 的 notepad.exe已经没有这种情况了),那上面打印的结果就不一定是如上一章所说的了,因为我们默认了 FirstThunk 也就是IAT 的内容不是函数编号就是函数名的 RVA,实际上在文件中的 IAT 仍然有第三种情况,这就是本章讲的内容了 IAT 在文件中存储的内容未必是序号和函数名的 RVA,还有可能直接就是上章讲的文件运行加载进内存后呈现的真正的函数地址。而这个.
PE文件学习笔记(五):导入、IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
PE文件格式学习(十四):绑定导入(BoundImportDirectory)
tutucoo
11-08 892
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导入的DLL...
PE文件解析-加载配置绑定导入导入地址与延迟导入
zhyulo的博客
01-06 1627
一、加载配置 1.位置与简介     载入配置早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。     后来以XP及以后的系统主要是为了存储SEH句柄,称为安全结构化异常处理程序列,如果SEH异常处理没有经过注册,在载入配置中没有句柄,这个异常处理就不会被执行。     据微软官方说明,这个载入配置的作用是为了防止“x86异常处理程序劫持”的漏洞。因为...
PE知识复习之PE的绑定导入
weixin_30352645的博客
10-05 168
                    PE知识复习之PE的绑定导入 一丶简介   根据前几讲,我们已经熟悉了导入结构.但是如果大家尝试过打印导入的结构. INT IAT的时候. 会出现问题. PE在加载前 INT IAT都指向一个名称. 这样说是没错的. 但是如果你打印过导入.会发现一个问题. 有的EXE程序.在打印IAT的时候.发现里面是地址. 原因:   我们的PE程...
PE文件格式学习(十四):绑定导入
11-08 185
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导...
导入绑定导入
weixin_43990313的博客
07-29 375
导入 概述 导入是用来存储应用程序需要的利用的模块以及模块内的函数的结构。记录了模块的信息和函数的信息。 结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向IMAGE_THUNK_DATA结构 }; DWOR
elementplus icon自动导入动态绑定
最新发布
11-10
elementplus icon的自动导入动态绑定是指,在使用elementplus框架开发前端项目时,可以通过配置和设置,动态地将icon图标集成到项目中,并在需要使用图标时进行自动导入绑定。 首先,在项目的配置文件中,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值