PE文件结构—导入表解析

已于 2024-05-09 15:27:00 修改
阅读量204 收藏
点赞数 1
分类专栏: PE文件结构 文章标签: windows c++
于 2024-05-09 15:18:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48257887/article/details/138615777
版权 

#include<iostream>
#include<Windows.h>

DWORD RvaToFoa(DWORD dwRva, const char* buffer)
{
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)buffer;
	PIMAGE_NT_HEADERS pNt = PIMAGE_NT_HEADERS(buffer + pDos->e_lfanew);
	PIMAGE_SECTION_HEADER pSh = IMAGE_FIRST_SECTION(pNt);
	if (dwRva < pSh[0].VirtualAddress)
	{
		return dwRva;//因为Dos头+PE头+节表,在文件和在内存中展开都是一样的
	}
	for (size_t i = 0; i < pNt->FileHeader.NumberOfSections; i++)
	{
		if (dwRva >= pSh[i].VirtualAddress && dwRva <= pSh[i].VirtualAddress + pSh[i].Misc.VirtualSize)//判断是否落在了某一个区段内
		{
			return dwRva - pSh[i].VirtualAddress + pSh[i].PointerToRawData; //返回文件中的偏移
		}
	}
    return NULL;
}

char* Loadfile(const char* szbuffer)
{
	HANDLE fRet = CreateFileA(szbuffer, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (fRet == INVALID_HANDLE_VALUE)
	{
		std::cout << "打开文件失败:" << std::endl;
		return NULL;
	}
	DWORD H_size = 0;
	DWORD L_size = GetFileSize(fRet, &H_size);
	if (L_size == INVALID_FILE_SIZE)
	{
		std::cout << "获取文件大小失败:" << GetLastError() << std::endl;
		return NULL;
	}
	char* tempbuff = new char[L_size];
	memset(tempbuff, 0, L_size);
	DWORD readszie = 0;
	if (ReadFile(fRet, tempbuff, L_size, &readszie, NULL))
	{
		return tempbuff;
	}
	std::cout << "读取文件失败!" << std::endl;
	return NULL;
}

BOOL ImportTable(const char* szbuffer, DWORD index)
{
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)szbuffer;
	PIMAGE_NT_HEADERS pNt = PIMAGE_NT_HEADERS(szbuffer + pDos->e_lfanew);
	//通过数据目录表获取了Import的结构体
	PIMAGE_DATA_DIRECTORY pData = &(pNt->OptionalHeader).DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];
	//获取了导入表数组的首地址
	PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)(RvaToFoa(pData->VirtualAddress, szbuffer) + szbuffer);
	pImport += index;
	//获取了Thunk数组的首地址
	PIMAGE_THUNK_DATA pTd = (PIMAGE_THUNK_DATA)(RvaToFoa(pImport->OriginalFirstThunk, szbuffer) + szbuffer);
	DWORD dwIndex = 0;
	while (pTd->u1.Ordinal != NULL)
	{
		PIMAGE_IMPORT_BY_NAME pIbn = (PIMAGE_IMPORT_BY_NAME)(RvaToFoa(pTd->u1.AddressOfData, szbuffer) + szbuffer);
		//因为PIMAGE_THUNK_DATA每一个都是4字节,pImport->OriginalFirstThunk指向PIMAGE_THUNK_DATA类型的数组
		printf("ThunkRVA:%08X\n", pImport->OriginalFirstThunk + dwIndex);
		printf("ThunkOffset:%08X\n", (RvaToFoa(pImport->OriginalFirstThunk, szbuffer) + dwIndex));
		printf("Thunk值:%08X\n", pTd->u1.Ordinal);
		try
		{
			printf("提示:%04X\n", pIbn->Hint);
			printf("函数名:%s\n\n", pIbn->Name);
		}
		catch (...)
		{
			DWORD temp = pTd->u1.Ordinal - 0x80000000;
			char tempbuff[MAX_PATH] = { 0 };
			sprintf_s(tempbuff, "序号:%Xh %dd", temp, temp);
			printf("——\n");
			printf("函数名:%s\n\n", tempbuff);
		}
		pTd++;
		dwIndex += 4;
	}
	return TRUE;
}

int main()
{
	char* szbuffer = Loadfile("E:\\VS_2019\\ConsoleApplication2\\Debug/ConsoleApplication2.exe");
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)szbuffer;
	PIMAGE_NT_HEADERS pNt = PIMAGE_NT_HEADERS(szbuffer + pDos->e_lfanew);
	PIMAGE_DATA_DIRECTORY pData = &(pNt->OptionalHeader).DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];
	PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)(RvaToFoa(pData->VirtualAddress, szbuffer) + szbuffer);
	DWORD nDll = 0;//导入表的数量
	DWORD index = 0;//导入表的次数标志
	while (pImport->Name != 0)
	{
		nDll++;
		pImport++;
	}
	pImport -= nDll;
	for (size_t i = 0; i < nDll; i++)
	{
		char* MoudleName = (char*)(RvaToFoa(pImport->Name, szbuffer) + szbuffer);
		printf("%s\n", MoudleName);
		printf("名称Rva:0x%x\n", pImport->Name);
		printf("时间戳:0x%x\n", pImport->TimeDateStamp);
		printf("导入名称表的RVA:0x%x\n", pImport->OriginalFirstThunk);
		printf("ForwarderChain:0x%x\n", pImport->ForwarderChain);
		printf("导入地址表的RVA:0x%x\n", pImport->FirstThunk);
		printf("Characteristics:0x%x\n\n", pImport->Characteristics);
		ImportTable(szbuffer, index);
		index++;
		pImport++;
	}
	system("pause");
	return 0;
}

向你扔鸡爪
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取PE文件导入的dll列(Win32, C++)
FlameCyclone的博客
11-17 276
最近需=编写检查某个PE文件(exe或者dll)依赖的dll有哪些, 于是查找资料尝试编写了这段代码, 经测试, 在x64或者x86环境下均可获取x64和x86的PE文件的dll列.
C语言实现遍历PE文件导入
溡漪幽博客
09-16 222
C++ 编程实现遍历PE文件导入,可以遍历延迟导入的函数
PE文件的引入和导出
bdmh的专栏
12-27 5391
直接上代码,PE结构可参阅资料,很多很详细,需要注意的是,本例中是映射到内存,不是通过PE装载器装入的,所以对于节的RVA地址需要转换成为文件偏移地址。Delphi代码unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls; type //导入元素结构 TImageImportDis
PE文件结构的介绍并使用C++读取PE文件信息
陈子青的博客
07-11 1552
PE文件结构分为五个部分:DOS文件头DOS加载模块PE文件头区段区段 windows环境中会直接跳过前两个部分直接从PE文件头开始,所以直接略过这两个部分。PE文件头大小为224字节左右,因为有个可选头所以实际长度不定。里面包含许多关于PE文件的整体信息,这些信息主要是描述PE文件的大概情况,但是更细节信息在区段中。如上图所示,PE文件头分为三个结构,第一个为签名字段,第二个为文件头字段,第三个为可选头字段。signature字段 在一个PE文件中Signature字段被设置为4550h,ASCII码
PE文件信息解析(Win32, C++)
最新发布
FlameCyclone的博客
02-05 533
PE文件信息解析助手类, 方便地解析PE文件常见信息
PE文件导入解析C++
05-01
通过阅读和理解这些源代码,我们可以学习如何在C++中处理PE文件结构,以及如何访问和解析导入。 总结来说,解析PE文件导入是理解和调试Windows程序的关键技能。通过C++编程,我们可以直接操作文件的二进制...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
PE 输入 解析 python
11-03
PE文件头可选映像头中数据目录的第二成员指向输入,输入以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个...
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构解析,数据目录解析,导出导入,资源等常见解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想...
VC 解析PE导出 导入
01-16
Windows操作系统中,可执行文件(EXE、DLL等)采用Portable Executable(PE文件格式,这是一种由Microsoft设计的标准,用于...同时,通过模仿DEPENDS的部分功能,我们可以自己构建工具来增强对PE文件结构的掌握。
PE文件导入的代码注入
谢启东的专栏
05-05 8238
 PE文件导入的代码注入           试想一下,如果通过修改导入,能把PE格式文件中的函数入口点,重定向到自己的程序中来,是不是很酷!这样,在自己在程序中,可以过滤掉对某些函数的调用,或者,设置自己的处理程序,Professional Portable Executable (PE) Protector也就是这样做的。另外,某些rootkit也使用了此方法把恶意代码嵌入
13.PE文件之绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3851
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
PE文件导入详解
只为改变自己
05-03 1113
PE导入详解
pe(32位)导入解析代码
JTB_xia的博客
06-12 118
#include <iostream> #include <Windows.h> #include <fstream> #include "ku.h" using namespace std; int main(int argc, char** argv) { if (argc != 2) { return 1; } UINT l; cout.setf(ios::hex, ios_base::showbase.
12.PE文件导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5421
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
小甲鱼PE详解之输入导入)详解(PE详解07)
07-29 3430
上一讲:小甲鱼PE详解之区块描述、对齐值以及RVA详解捷径并不是把弯路改直了,而是帮你把岔道堵上!走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇!岔路会将你引入万劫不复的深渊,并越走越深……在开始讲解输入导入)概念之前,请允许小甲
PE文件结构-导入详解
wxf明的博客
12-30 1573
PE文件运行时,PE文件将被系统加载进入内存中,此时Windows加载器会定位所有的导入的函数或者将定位到的内容填写到可执行文件的某个位置供使用,这个定位是需要借助于可执行文件导入来实现的。导入中存放了所使用的DLL模块名称及导入函数的名称或者函数序列。 在PE文件中定位到PE头部的可选头的位置,可选头IMAGE_OPTIONAL_HEADER中最后一个成员: IMAGE_DATA_DI...
PE文件解析(4):导入解析
ylh的博客
11-01 848
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
vc编写pe文件解析工具
08-29
VC编写PE文件解析工具是一项非常有挑战性...总的来说,VC编写PE文件解析工具需要通过对PE文件结构和内容的深入理解,使用相关函数和库来实现对PE文件的读取和解析。这样就可以开发一个功能丰富、实用的PE文件解析工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值