PE_导入表

最新推荐文章于 2022-11-01 23:28:52 发布
最新推荐文章于 2022-11-01 23:28:52 发布
阅读量191 收藏
点赞数
分类专栏: PE
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/115272658
版权

导入表

导入表简述

目的:为实现代码重用而设置的。
一个PE文件调用了多少外来函数,以及这些外来函数都存在于那些动态链接库DLL里等信息。

注:PE到这里套娃就很晕了(本人实在太笨,看了很多遍才理顺,相信应该没有比我更笨的了,参考一些资料也思维都跳的比较厉害或缺这少那的,所以还是想把PE的汇总分享大家, 希望以下内容能帮助大家快速理清思路及共同喜欢研究这方面入门的朋友们少走弯路)。

调用一个外部函数流程

在这里插入图片描述这里涉及导入表 和 IAT(导入函数地址表),它们分别是数据目录的第2项和第13项。
借助一个工具peinfo便能迅速定位。
在这里插入图片描述

导入表中涉及的数据结构

总览结构全局流程导向(这图要牢牢映入脑中)

在这里插入图片描述
吐槽一下:鬼知道我画了多久!!

IMAGE_THUNK_DATA(这真是个理解大坑)

这句才是本质:
在这里插入图片描述
后面又给出里面具体定义(我是满脑子问号,还不如不给,跟简单话说复杂一样,里面内容我感觉是没什么用,如果有理解这个朋友请指教
在这里插入图片描述

导入表描述符IMAGE_IMPORT_DESCRIPTOR结构信息

IMAGE_IMPORT_DESCRIPTOR	STRUCT
union
	Characteristics					dd
	OriginalFirstThunk				dd	;000h	-1
ends	
TimeDateStamp						dd	;0004h	-	时间表
ForwarderChain						dd	;0008h	-	链表的前一个结构
Name1								dd	;000ch	-	指向链接库名字的指针
FirstThunk							dd	;0010	-2

IMAGE_IMPORT_BY_NAME

IMAGE_IMPORT_BY_NAME STRUCT
	Hint	dw	?;0000h	-函数编号
	Name1	db	?;0004h	-表示函数名的字符串
	IMAGE_IMPORT_BY_NAME ENDS

查看IAT和导入表并分析

1.得到导入表和导入地址表RVA和SIZE,同时转换成FOA
在这里插入图片描述
#导入表RVA = 0X2010
#导入表大小 = 0X3C
#导入函数地址表=0X2000
#导入函数地址表大小=0X10

转换成FOA
#导入表FOA = 0X610
#IAT = 0X600

在这里插入图片描述导入表:每二十个字节描述一个引用DLL库相关函数信息。

分别是以下三组数据(磁盘和加载内存中的数据是一样的)
第一组DLL信息
在这里插入图片描述
第二组DLL信息
在这里插入图片描述
第三组是结束的标志
在这里插入图片描述
有工具就要充分利用,这里是上面3组数据转换成对应结构里面的内容。

在这里插入图片描述

证明(磁盘中)桥一和桥二最终指向一样

在这里插入图片描述
RVA = 0X205C
FOA=0X65C 即 hint / 函数名 内容

证明(加载内存中)桥一不变,桥二中地址操作系统填入函数真实地址

在这里插入图片描述

双桥结构存在的原因?

正是由于加载后,桥二IAT表中填入了真正的函数地址,如果你再想通过函数地址名字找到函数名,这时便时桥一INT表起作用的时候了。(INT起到为函数名备份的作用)

hercu1iz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验一 PE头及导入的应用
babywhale_bi的博客
01-11 929
逆向工程实验一
WINDOWS+PE权威指南读书笔记(6)
沐一 · 林 的博客
10-07 156
目录 导入函数地址:(IAT) 导入双桥结构应用举例: 导入函数地址:(IAT) PE 文件中所有导入函数 jmp 指令操作数的集合,组成了另外一个数据结构,这个结构就是导入函数地址(Import Address Table,IAT)。该地址是数据目录的第13 个数据目录项。 导入函数地址是一个双字的数组,每个双字代的是一个导入函数的VA,该地址称为导入函数地址(Import Address,IA)。用户程序通过无条件跳转指令JMP跳转到 VA 指定处. 由于 IAT中定义
WINDOWS+PE权威指南读书笔记(5)
沐一 · 林 的博客
10-02 318
PE中的导入 Windows 加载器在运行 PE 时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址。在数据目录中一共有四种类型的数据与导入数据有关。 这四种数据依次为: 口导入导入函数地址 口绑定导入 口 延迟加载导入 导入的概念: Windows API 函数,这些代码存储在 DLL 文件,即动态链接库中。在动态链接库里存放的不是函数的源代码,而是编译链接以后生成的字节码。 看下面的两个调用语句: invoke Mes
PE结构:导入中的双桥结构
weixin_43742894的博客
05-15 1139
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件:导入》:https://blog.csdn.net/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
逆向工程实验
FFFde博客
01-18 2389
逆向工程实验1、PE头及导入应用2、PE导出分析及应用3、应用软件破解4、壳应用 1、PE头及导入应用 1、PE可执行文件分析 1.1开发一个源程序 HelloWorld .asm,显示hello world。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.in
PE.rar_PE导入_pe_导入
09-24
分析PE,查看PE文件导出导入
daorubiao.rar_导入
09-23
导入是Windows操作系统中PE(Portable Executable)文件格式的一部分,它记录了程序运行时需要依赖的动态链接库(DLL)及其函数。本篇文章将围绕"daorubiao.rar_导入"这一主题,详细阐述Delphi程序如何利用导入...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
PE文件导入解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件的导入,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
pe.rar_PE__pe_pe文件实例
09-14
"pe.txt"可能包含了关于PE文件格式的详细解释,包括DOS头、PE头、节区等关键组件的介绍,以及它们如何协同工作来构造一个完整的PE文件。 6. **资料来源** "www.pudn.com.txt"很可能是一个链接或引用来源,提供...
逆向——PE头及导入应用
young的博客
03-22 1437
逆向——PE头及导入应用 文章目录逆向——PE头及导入应用前言一、PE可执行文件分析二、调试软件OllyDBG2.1、利用OD软件调试PE文件。2.2、怎么理解E8 08000000?2.3、F7单步步入和F8单步步过 有什么不同?2.4、修改EXE文件字节码2.5、修改是从文件偏移的什么地方开始的(FOA和VA、RVA分别的多少)?三、调试软件W32DASM3.1、该函数用到哪几个DLL,分别用到哪几个函数?四、FlexHex 或 Winhex4.1、如何初步判断一个文件是PE文件?五、利用PEdi
PE-导入
megaparsec
12-19 1940
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件解析(4):导入的解析
ylh的博客
11-01 855
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE文件学习--导入
KOOKNUT的博客
06-27 483
写在前面的话:今年疫情在家,才开始在CSDN与各位大佬们分享交流技术,最近一个月返校之后,一直忙碌于学校课设和期末考试的备考(毕竟平时不怎么听课),所以博客几乎一个多月没有更新,最近只剩下一门考试了,今天小库又回来了。 之前有关PE文件的知识好像更新到了导出,今日来看看导入。 我们提到导入,最常说的就是导入的双桥结构 先来看一下导入描述符结构体IMAGE_IMPORT_DESCRIPTOR typedef struct _IMAGE_IMPORT_DESCRIPTOR { union
Windows PE 第四章 导入
天使也掉毛
10-07 3741
Windows PE 第四章 导入
PE文件 - 导入
weixin_45012273的博客
11-11 1258
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件的导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE导入
跃然实验室
06-12 684
导入的位置:在PE文件的PE文件头 导入通常位于 .idata 段 导入函数(Import functions )就是被程序调用但其执行代码又不在程序中的函数 函数的代码位于一个或者多个DLL中 动态链接 ——当PE文件被装入内存的时候,Windows装载器才将DLL装入,并将调用导入函数的指令和函数实际所处的地址联系起来 导...
c++ 修正pe导入
最新发布
05-16
PE导入是PE文件中的一个重要部分,它记录了PE文件所依赖的外部函数和库文件。如果导入出现错误,将会导致程序无法正常运行或者崩溃。下面是修正PE导入的一些方法: 1. 使用修复工具:有一些专门的PE修复工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值