171006 逆向-EAT机制

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量322 收藏
点赞数
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78174199
版权

1625-5 王子昂 总结《2017年10月6日》 【连续第371天总结】
A. EAT
B.
EAT是一种核心机制,使不同的应用程序可以调用库文件中提供的函数。
也就是说,要通过EAT才能求得从相应库中导出函数的起始地址。
PE文件中有一个特定结构体IMAGE_EXPORT_DIRECTORY保存着导出信息

IMAGE_EXPORT_DIRECTORY结构体

重要成员
1.NumberOfFunctions
表示实际导出函数的个数
2.NumberOfNames
表示有名字的导出函数的个数
3.AddressOfFunctions
表示导出函数地址数组
4.AddressOfNames
表示导出函数的名字字符串数组
5.AddressOfNameOrdinals
表示Oridinal地址数组

GetProcAddress过程

1.利用AddressOfNames成员找到函数名称数组;其中保存着导出函数的Names字符串;通过Strcmp字符串查找指定的函数名称,得到索引(name_index)
2.利用AddressOfNameOrdinals成员,转到ordinal数组;其中保存着导出函数的ordinal索引与实际地址索引的对应关系(通常是相同的,但是当出现无名导出函数,ordinal中无,而实际地址中有时,两个索引就不同了);通过name_index找到对应的ordinal值
3.利用AddressOfFunctions成员,转到函数地址数组(EAT);其中保存着函数与实际地址的关系;通过ordinal值找到地址

C. 明日计划
运行时压缩

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java3 - 面向对象
测试开发架构师
11-06 201
①定义类②编写类的成员变量③编写类的成员方法。
delphi 给力版 GetProcAddress
fangyuan621的专栏
09-15 481
consttypeend;pascal;asm@@Loop:@@Found:@@Exit:end;
WIN32汇编语言程序设计——查看PE文件导出表
evagenius的博客
03-24 500
当PE文件被执行的时候,Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT表进行修正。在这些包含导出函数的DLL文件中,导出信息被保存在导出表中,通过导出表,DLL文件向系统提供导出函数的名称、序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。(1) 子程序参数1:已经读取到内存中的文件头的地址。2. 获取数据块的文件偏移地址。
导出表
weixin_43990313的博客
07-08 314
1.概述 某个DLL中的函数被EXE或者另外的DLL使用需要借助导出表(有的EXE也有导出表)。数据目录项的第一个结构,就是导出表.。 2.结构 数据目录项的结构 这个结构在OptionalHeader的最后一个结构 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 其中 Virtua
逆向工程核心原理》学习笔记5 PE文件学习——PE头核心IAT,EAT
EloflyS的博客
02-19 628
逆向工程核心原理》学习笔记5 PE头核心——IAT,EAT 1.IAT——导入地址表 用于记录程序正在使用哪些库的哪些函数的表格。
delphi中PE文件结构
03-11 347
PE文件: ----------------------------------------------------------------------- | DOS Header | 其中_lfanew 域指向4...
逆向工程核心原理》第13章——PE文件格式(2):IAT与EAT
diamond_biu的博客
12-08 1596
PE文件格式(2):IAT与EATIATDLLIMAGE_IMPORT_DESCRIPTOR使用notepad.exe练习1 库名称(Name)2 OriginalFirstThunk-INT3 IMAGE_IMPORT_BY_NAME4 FirstThunk-IATEAT IAT IAT:导入地址表(Import Adress Table)。简而言之IAT是一种表格,用来记录程序正在使用哪些库中的哪些函数。 DLL 16位DOS时代调用函数时,会从C库中读取相应函数的二进制代码并将其插入应用程序。而Wi
导出表_eat_遍历_exe程序
05-27 704
#include <windows.h> #include <stdio.h> //列举导出表的函数,参数就是dll模块的地址 BOOLEAN EunmEATTable(PVOID ulModuleBase) { //这里大家都知道是变量的声明 PIMAGE_DOS_HEADER pDosHeader; //dos头结构体 PIMAGE_NT_HEADERS Nt...
逆向整理-PE
weixin_43742794的博客
02-29 476
PE相关 PE文件格式 PE文件是windows下的32位可执行文件格式,64位称为PE+或PE32+ 文件中使用偏移(offset)内存中使用VA(Virtual Address)来表示位置,VA指的是进程虚拟内存中的绝对地址,RVA(Relative Virtual Address)指从某个基准位置(ImageBase)开始的相对地址,RVA+ImageBase=VA PE头 在PE头的最前面...
易语言IAT和EAT Hook例程纯源码
05-19
理解并掌握这两种Hook技术,对于深入理解Windows程序的运行机制,以及进行系统级编程、软件逆向分析等高级技术都有很大帮助。通过分析和实践这些源码,你可以提升自己的编程技巧,特别是在系统级编程和安全领域。
安卓逆向基础(动态调试,静态调试)
qq_37434237的博客
02-21 2965
看完某锦的19年基础教程写的总结
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1202
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
导出表_eat_遍历
05-27 525
#include <ntifs.h> #include <ntimage.h> #define SystemModuleInformation 11 typedef unsigned char BYTE; typedef unsigned short WORD; typedef struct _SYSTEM_MODULE_INFORMATION // 系统模块信息 { ...
IAT HOOK及遍历IAT
哈尔滨-猫猫
01-03 867
// ConsoleApplication2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include // 定义MessageBoxA函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType); int W
小爱控制HA上的开关(红外线)
热门推荐
whklhhhh的博客
01-01 2万+
小爱同学控制homeassistant in 树莓派 by 红外线 前言 租了房子以后一直想搞智能家居自动化各种事情,最近终于腾出空可以搞辣! 研究了一圈感觉拆开关太麻烦了,零火线还要撬开关,租的房子不敢瞎搞。想了一下可以用arduino/树莓派加上小马达来实现敲击开关,不过自己做的话估计比较丑而且外壳设计这些比较偏工业,我这种纯软件程序员也并不熟悉233 于是又搜了一下,果然有roome和华硕各...
180120 逆向-AndroidApp常见漏洞和挖掘技巧
whklhhhh的博客
01-20 8166
1625-5 王子昂 总结《2018年1月20日》 【连续第477天总结】 A. Android App常见漏洞和挖掘技巧 B.基本知识Android架构 Kernel内核层 漏洞危害极大,通用性强 驱动由于多而杂,也可能存在不少漏洞 Libaries系统运行库层 系统中间件形式提供的运行库 包括libc、WebKit、SQLite等等 AndroidRunTime Dalvik虚拟
171118 逆向-再探QQ防撤回
whklhhhh的博客
11-24 7469
1625-5 王子昂 总结《2017年11月18日》 【连续第414天总结】 A. PCQQ防撤回 (2) B. QQ(PC端)防撤回原理撤回机制Created with Raphaël 2.1.0点击撤回客户端删除本地数据库中的消息   并向服务器发出请求服务器接收到请求向其他客户端发送撤回请求其他客户端接收到请求删除本地数据库中的消息消息被撤回目标使本地数据库中的消息不被删除,从而防撤回方
171116 逆向-初探PCQQ防撤回
whklhhhh的博客
11-22 5045
1625-5 王子昂 总结《2017年11月16日》 【连续第412天总结】 A. PCQQ防撤回 B. 目前网络上只有QQ小清新和NTRQQ这两款补丁可以对PC端的QQ进行防撤回。 安卓端和MAC端的QQ有一些比较详细的阐述,比如https://www.cnblogs.com/tututu-patch/p/Mac_Crack.html 而PC端的上述两款补丁的开发者都没有开源和相关文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值