171005 逆向-IAT导入地址表

最新推荐文章于 2021-11-09 21:18:41 发布
最新推荐文章于 2021-11-09 21:18:41 发布
阅读量558 收藏
点赞数 1
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78164621
版权

1625-5 王子昂 总结《2017年10月5日》 【连续第370天总结】
A. IAT导入地址表
B.
IAT,导入地址表,用来记录程序正在使用哪些库中的哪些函数

DLL

动态链接库,是Win特有的系统。
早在DOS时代还没有DLL时,只有库一说。当需要使用库函数时,编译器会将库函数一起插入到应用程序中。
到了Win时代,由于GUI拥有大量的库函数来支持环境,这样插入会造成大量资源浪费(内存和磁盘空间),于是引入了动态链接库。
内存映射技术使得加载后的DLL代码、资源在多个进程中实现共享

加载DLL的方式有两种:显式链接为程序使用DLL时加载,使用完毕后立即释放。隐式链接为程序运行时加载DLL,结束后释放内存。

IAT

IAT提供的机制就与隐式链接有关。
当调用库函数时,汇编代码实际为call a,而a处的代码是jmp b
a是.text节区的内存区域(确切说是IAT内存区域),b就是真正的库函数地址。
当运行程序时,PE装载器负责将b的地址写入a中

不直接将call b的原因一方面是DLL的版本不同、b在DLL中的地址也相应不同,因此并不固定;另一方面DLL重定位功能使得DLL不一定装载入Image Base地址中
DLL重定位:如果a.dll已经装载入了10000000地址,而b的Image Base也为10000000,那么将会自动为b换一个地址装载。

IMAGE_IMPORT_DESCRIPTOR结构体

结构体中记载了PE文件要导入哪些库文件。
每个结构体中包含一个库文件的INT地址数组、Name数组和IAT地址数组,以NULL结束

装载顺序
  1. 读取IID的Name成员,获取库名称字符串(如“Kernel32.dll”)
  2. 装载相应库,通过LoadLibrary(“Kernel32.dll”)
    3.读取IID的OriginalFirstThunk成员,获取INT地址
    4.逐一读取INT中数组的值,获取相应IMAGE_IMPORT_BY_NAME地址
    5.使用IMAGE_IMPORT_BY_NAME的HINT或NAME项,获取相应函数的起始地址,通过GetProcAdress(“GetCurrentThreadld”)
    6.读取IID的FirstThunk成员,获得IAT地址
    7.将上面获得的函数地址放入相应的IAT数组值
    8.重复4-7步骤,将所有INT装载(以NULL结束)

C. 明日计划
EAT

奈沙夜影
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
导入地址.zip
06-02
PE文件结构包含了程序运行所需的各种信息,其中包括了导入地址(Import Address Table, 简称IAT)。这个知识点主要集中在程序如何在运行时找到并调用其他模块(如DLL)中的函数。 导入地址是PE文件的一个关键...
IAT导入函数地址 | IT导入
VI___
10-18 1955
之前对 IAT 的理解一直比较模糊,现在通过一个简单脱壳来梳理一下。 一、场景 用到的两个素材如下,一个没壳,一个有UPX壳。 首先在Crackme中查看MessageBoxA函数的入口地址,不同系统不同版本可能地址不一样,这个程序在我电脑上运行正常,可能在别的电脑上就会出错,为了解决这个兼容问题,IAT导入函数地址)就诞生了。 二、栗子 在OD中右键查看所有模块间...
[PE结构分析] 8.输入结构和输入地址IAT
weixin_34167043的博客
08-16 450
在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。每个被链接进来的 DLL文件都分别对应一个 IMAGE_IMPORT_DESCRIPTOR (简称IID) 数组结构。 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { D...
Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
逆向随笔
12-27 1751
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
手动确定IAT地址与大小
weixin_33725722的博客
07-08 200
from:[url]http://bbs.chinapyg.com/viewthread.php?tid=24623[/url] 当我们找到OEP后,用ImportREC的“IATAutoSearch”按钮,一般情况下ImportREC可以自动识别出IAT地址与大小。但如果不能自动识别,就必须手动确定IAT地址与大小,然后将IAT的RVA与Size填进ImportRE...
滴水逆向三期实践16:IAT导入
Rivival_S 的博客
11-09 2680
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
iat导入hook的c++源码
最新发布
09-14
总之,IAT导入hook是Windows编程中的高级技巧,对于想要深入理解系统级编程和逆向工程的人来说,这是一个重要的学习领域。通过学习和实践,你将能够更有效地控制程序的执行流程,实现各种自定义功能。
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
IAT(Import Address Table)导入地址:** 在Windows PE(Portable Executable)文件格式中,IAT是一个重要的组成部分,它存储了程序在运行时需要调用的外部函数的地址。当程序加载到内存时,操作系统负责填入...
iat输入hook的源码
09-14
在Windows操作系统中,IAT(Import Address Table,导入地址)是动态链接库(DLL)加载时使用的一个关键数据结构。它存储了程序在运行时需要调用的外部函数的地址IATHook技术是一种常用的系统钩子技术,用于拦截...
IAT_Hooking_API:API参数的DLL挂钩(模数)的导入,以及IAT挂钩,导入地址的挂钩
02-13
在编程世界中,IAT(Import Address Table,导入地址)挂钩是一种常用的技术,用于拦截和修改程序对特定API函数的调用。这种技术在逆向工程、恶意软件分析、软件调试以及某些形式的插件系统中都有应用。本文将深入...
逆向工程核心原理》第13章——PE文件格式(2):IAT与EAT
diamond_biu的博客
12-08 1310
PE文件格式(2):IAT与EATIATDLLIMAGE_IMPORT_DESCRIPTOR使用notepad.exe练习1 库名称(Name)2 OriginalFirstThunk-INT3 IMAGE_IMPORT_BY_NAME4 FirstThunk-IATEAT IAT IAT导入地址(Import Adress Table)。简而言之IAT是一种格,用来记录程序正在使用哪些库中的哪些函数。 DLL 16位DOS时代调用函数时,会从C库中读取相应函数的二进制代码并将其插入应用程序。而Wi
PE文件学习笔记(五):导入IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
PE头、IAT总结(找到PE文件DLL的某个导入函数字符串地址)——《逆向分析核心原理》读书笔记
qq_41170946的博客
02-01 1200
上图总结了PE的基本结构和IAT的概念,下面进行详细说明 打开PEVIEW 一、找到IDT起始地址 先找到可选头的IMPORT Table地址 可以看到地址是84CC(RVA) 二、找到IDT数组的第一个元素,即第一个IID结构体 找到84CC(RVA)地址 上图从0X84CC到0X852C就是DataDirectory数组的第二个元素指向地址的内容! 下图是其在HexEditor中的格式 ...
逆向】脱壳后修复IAT并关闭ASLR
Tigger.run 独立开发者 热爱逆向工程
04-12 1033
0x1 寻找OEP OEP八大法…这里不具体展开… 0x2 修复IAT 脱壳后如遇到程序无法正常运行(XP环境),可能是因为导入破坏,需要手动修复。 将暂停在OEP的进程加载到ImportREC中,通过OD查看IAT导入地址与大小。 通过PC文件格式的学习,可以知道导入的RVA在可选头的DataDirectory数组中存放,但由于程序加壳, 图为加壳程序IAT的偏移 18008,大小6...
IAT是如何实现的
zzx的博客
12-16 2298
我们知道当程序要调用系统dll时,会用到IAT 具体是怎么实现的呢, 假设我们程序中某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址中是一个jmp [A],A中存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A中存放的数据,而不是A本身,A中存放的数据
OD使用之查找 API的方法
nethm的专栏
09-26 9342
一    反汇编窗口,右键--查找--当前模块中的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
脱壳之加密壳
qq_40655041的博客
08-01 991
脱壳一般流程 信息搜集 查看壳是什么是什么语言编写的,以及是什么类型的壳 搜集到信息可以用于判断壳/OEP 的二进制特征或API特征 vs2013特征: 二进制特征 E8???E9 API特征 GetSystemTimeAsFileTime vc6.0特征 API特征 GetVersion Delphi特征 GetModuleHandleA 找到OEP 可以通过中调用的函数找到IAT,并从中判...
获取IAT中的函数地址
06-01
2. 定位到PE文件的导入(Import Table),获取导入的 RVA 和 Size 3. 遍历导入中的每一个导入描述符(Import Descriptor) 4. 对于每一个导入描述符,获取其名称(Name Table)的 RVA 和 Size,以及导入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值