《逆向工程核心原理》学习笔记5 PE文件学习——PE头核心IAT,EAT

最新推荐文章于 2022-03-27 19:55:02 发布
最新推荐文章于 2022-03-27 19:55:02 发布
阅读量628 收藏 1
点赞数 3
文章标签: 操作系统 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzaxiloveyou/article/details/104343712
版权
本文是《逆向工程核心原理》学习笔记的第五部分,主要讲解PE文件中的IAT(导入地址表)和EAT(导出地址表)原理。IAT用于记录程序使用库函数的信息,其地址在程序执行后由PE装载器填充。EAT则帮助确定函数的准确起始地址,通过AddressOfNames和ordinal数组查找函数地址。
摘要由CSDN通过智能技术生成

《逆向工程核心原理》学习笔记5

PE头核心——IAT,EAT

一 IAT——导入地址表
用于记录程序正在使用哪些库的哪些函数的表格
其通过记录各函数的实际地址的位置,并记下
CALL DWORD PTR DS:[实际地址位置]这样一条汇编指令
当执行该PE文件的时候,PE装载器将该函数的地址写到DS:[实际地址位置]处

疑问:为啥不直接将该函数的地址写到CALL指令中呢?

解答:第一,在不同的操作系统,不同的语言(人类语言),不同的服务包(what?)中,dll(动态链接库)的版本有所不同,也就是说,在不同的环境下,库函数在内存中的位置也有所不同,所以只有在执行文件后才知道该函数被加载到哪。所以只能靠PE装载器在执行该文件后找到该函数的位置,再将它放到之前安排的位置上。
第二,dll重定位。dll文件本身也是PE文件,它本身也有ImageBase,即优先加载地址,当两个dll文件的ImageBase发生冲突时,后来的那个dll要进行重定位,PE装载器会重新为它分配一段内存空间,这也导致了函数所在的地址无法在加载前确定。
第三,PE头中表示地址用的是相对虚拟地址(RVA)。
我们知道,RVA+ImageBase=VA
因此,实际地址受ImageBase影响

二 IMAGE_IMPORT_DESCRIPTOR
IMAGE_IMPORT_DESCRIPTOR结构体记录了PE文件需要导入哪些库文件。该结构体位于PE体里,它的地址&

最低0.47元/天 解锁文章
EloflyS
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向工程核心原理学习笔记4 PE文件学习——PE总结
EloflyS的博客
02-16 323
逆向工程核心原理学习笔记4 PE文件学习——PE总结 1.DOS typedef struct _IMAGE_DOS_HEADER //DOS { WORD e_magic; //DOS signature :4D5A ("MZ",是确定的值, 被称为DOS签名,如果值被改变,程序无法运行) WORD e_cblp; WORD e_c...
逆向工程核心原理》第13章——PE文件格式(2):IATEAT
diamond_biu的博客
12-08 1595
PE文件格式(2):IATEATIATDLLIMAGE_IMPORT_DESCRIPTOR使用notepad.exe练习1 库名称(Name)2 OriginalFirstThunk-INT3 IMAGE_IMPORT_BY_NAME4 FirstThunk-IATEAT IAT IAT:导入地址表(Import Adress Table)。简而言之IAT是一种表格,用来记录程序正在使用哪些库中的哪些函数。 DLL 16位DOS时代调用函数时,会从C库中读取相应函数的二进制代码并将其插入应用程序。而Wi
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件 DOS加载模块 PE文件 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件的地
易语言IATEAT Hook例程纯源码
05-19
易语言IATEAT Hook例程纯源码
IATEAT
dgyoj5356的博客
12-16 407
IAT-import address table 一个普通PE文件的运行往往需要导入多个库文件,在PE文件运行时如何找到库文件中函数的准确入口是程序正确运行的保证。IAT就是提供这样保证的一个机制。 IAT总得来说是一张表,表内存储着每个库文件函数在内存中的地址。 就我的理解,IAT对应着IMAGE_IMPORT_DESCRIPTOR结构体,每个结构体代表一个库,每个库对应一个IA...
EAT/IAT Hook
weixin_30794499的博客
08-21 150
标 题:EAT/IAT Hook 作 者: Y4ng 时 间: 2013-08-21 链 接:http://www.cnblogs.com/Y4ng/p/EAT_IAT_HOOK.html #include <windows.h> #include <shlwapi.h> #include <wchar.h> DWORD MyZwGetC...
逆向工程核心原理之DLL卸载
wangtiankuo的博客
03-21 340
DLL卸载winxp测试成功(需要C:\windows\system32\msvcr100.dll)// EjectDll.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include&lt;Windows.h&gt; #include&lt;TlHelp32.h&gt; #i...
【旧文章搬运】加载PE文件IAT的填充时机
weixin_30251829的博客
12-27 229
原文发表于百度空间,2011-06-20========================================================================== 大致过程如下: LdrInitializeThunk //ring3线程第一次执行从这里开始 ->LdrpInitialize ->_LdrpInitialize ->LdrpIn...
PEIAT总结(找到PE文件DLL的某个导入函数字符串地址)——《逆向分析核心原理》读书笔记
qq_41170946的博客
02-01 1233
上图总结了PE的基本结构和IAT的概念,下面进行详细说明 打开PEVIEW 一、找到IDT起始地址 先找到可选的IMPORT Table地址 可以看到地址是84CC(RVA) 二、找到IDT数组的第一个元素,即第一个IID结构体 找到84CC(RVA)地址 上图从0X84CC到0X852C就是DataDirectory数组的第二个元素指向地址的内容! 下图是其在HexEditor中的格式 ...
PE 文件解析程序(含反汇编
08-13
解析PE文件,包括数据,资源待。代码反汇编,函数结构分析等~~
逆向工程核心原理之通过修改PE加载DLL
wangtiankuo的博客
07-02 707
1.1       给TextView.exe添加myhack3.dll1.1.1       查看IDT是否有地方再加一个dll查看IDT,发现没有地方再添加一个dll了,需要移动IDT到更大的地方。在文件中找一个空白的区域,将IDT移动过去。.rdata区域,从0x8C60后就是NULL了。但是,填充着NULL不一定意味着该区域是空白可用区域,因此要确定该区域是否为空白可用区域。内存中节区起始...
逆向工程核心原理学习笔记7 UPack加壳
EloflyS的博客
03-01 1271
逆向工程核心原理学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
171006 逆向-EAT机制
whklhhhh的博客
10-08 322
1625-5 王子昂 总结《2017年10月6日》 【连续第371天总结】 A. EAT B. EAT是一种核心机制,使不同的应用程序可以调用库文件中提供的函数。 也就是说,要通过EAT才能求得从相应库中导出函数的起始地址。 PE文件中有一个特定结构体IMAGE_EXPORT_DIRECTORY保存着导出信息IMAGE_EXPORT_DIRECTORY结构体重要成员 1.NumberO
usb3.0导入工具pe_从零开始(6)PE文件格式2—INT/EAT
weixin_39968640的博客
11-29 760
逆向学习从零开始(6)PE文件格式-2了解exe程序由哪些部分构成INT、IAT学习回来了,继续更,前段时间感冒了,每天只想吃了睡不想学习,颓废上瘾~。钱钟书说,猪有没有人快乐,是不知道的,但是人有没有猪那样满足,是常看见的。可能我变了一段时间的猪,哈哈哈哈哈~本节是PE结构学习的最后一节,主要讲INT表和IAT表,十分重要的概念。因为高级PE中,IAT/EAT相关内容是运行时压缩器、...
网络安全应急响应-常用工具
Bnessy
03-27 9376
1. Sysinternals Suite Sysinternals Suite是微软发布的一套非常强大的免费工具程序集。 下载链接:https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite 其中包含: AccessChk 为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回
操作系统复习之进程管理
Lynko
04-18 147
进程与线程 1.进程 定义: 进程是程序的一次执行。 进程是资源分配的基本单位。 进程控制块(PCB)描述进程的基本信息和运行状态,所谓的创建进程和撤销进程都是指对PCB的操作。系统主要利用PCB来描述进程的基本情况和活动过程。 特征: 动态性: 进程的实质是进程实体的执行过程。 并发性:是指多个进程实题同存在于内存中,且能在一段时间内同时运行。 独立性:是指进程实体是一个能独立运行,独立获得资源...
死锁、EAT、页表、单双缓冲区典型题目及解析
m0_52226803的博客
05-11 1791
一、死锁 1、设系统中有n个进程并发,共同竞争资源X,且每个进程都需要m个X资源,为使该系统不会发生死锁,资源X的数量至少为() A、nm+1   B、nm+n C、n*m+1-n  D、无法预计 2、设系统中有9个并发进程,共同竞争的同类资源有79个,为使系统有可能会发生死锁,每个进程申请该类资源最少为() A、9 B、10 C、11 D、12 3、设系统中共有并发进程8个,每个进程申请R1类资源最多为8个,为使系统有可能发生死锁,问R1类资源最多为() A、63 B、56 C、7 D、57 4、设系统
IAT HOOK、EAT HOOK和Inline Hook
CoderAldrich的专栏
01-12 5770
导入表hook原理是修改导入表中某函数的地址到自己的补丁函数,具体步骤如下: 1. 通过GetProcAddress获取目标函数地址 2. 在程序内存中找到所在dll的导入表 3. 查找目标函数地址保存的位置 4. 把地址修改为自己补丁函数 导出表hook原理跟导入表相同,步骤也差别不大 但是二者都存在一个问题,就是当目标函数是一个递归函数时,只有第一次能hook成功,函数内部
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值