IAT表

最新推荐文章于 2023-04-16 23:05:09 发布
最新推荐文章于 2023-04-16 23:05:09 发布
阅读量607 收藏
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zang141588761/article/details/82874091
版权

A、初识IAT

    B、IAT表相关结构

    C、读出IAT项

    D、编写代码测试分析  

    E、HOOK IAT

    F、测试分析

A、认识IAT表 导入函数表

B、IAT表相关结构

PIMAGE_DOS_HEADER

//->e_lfanew //PE文件头偏移值

PIMAGE_NT_HEADERS //->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress

PIMAGE_IMPORT_DESCRIPTOR

//.FirstThunk //IAT偏移

PIMAGE_THUNK_DATA

// u1.Function

//文件名 IAT.H

#include <windows.h>

VOID __stdcall mySleep(DWORD m)

{

    MessageBoxA(0,"Hook 成功","IAT hook",MB_OK);

}

PVOID EnumAPI() 

PBYTE ImageBase;

PIMAGE_THUNK_DATA r;  

PIMAGE_NT_HEADERS pNtHeader;  

PIMAGE_IMPORT_DESCRIPTOR pImport;  

//取得DOS头基址

ImageBase=(PBYTE)GetModuleHandle(NULL);//0x400000

//PE头=ImageBase+[ImageBase+3c]

pNtHeader = (PIMAGE_NT_HEADERS) (ImageBase + ((PIMAGE_DOS_HEADER) ImageBase)->e_lfanew);  

//IMAGE_DIRECTORY_ENTRY_IMPORT值为1 表示import tabale

pImport = (PIMAGE_IMPORT_DESCRIPTOR)

(ImageBase + pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);  

 遍历整个 输入表

for (; pImport->Name; pImport++)  

{     

     printf("导入模块:%s\n",ImageBase+pImport->Name);  

       //遍历IAT信息  PIMAGE_THUNK_DATA基址

        for (r = (PIMAGE_THUNK_DATA) (ImageBase + pImport->FirstThunk); r->u1.Function; r++)   //枚举函数地址

        {  if (Sleep==(PVOID)r->u1.Function)

        {   DWORD pSleep=(DWORD)(&r->u1.Function);

            __asm

            {

                    mov ebx,pSleep /// mov ebx,0x42A190

                    lea eax,mySleep

                    mov [ebx],eax      

        }

        }

            printf("Function=%x \n", &(r->u1.Function));          

        }  

}  

return NULL;  

}  

int main(int argc, char* argv[])  

{   //MessageBoxA(0,NULL,NULL,MB_OK) ;

    //MessageBoxW(0,NULL,NULL,MB_OK);

    EnumAPI();

    Sleep(111);

    return 0;  

小蚂蚁_CrkRes
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解析导入IAT
hambaga的博客
05-21 1744
一、导入的结构 导入的结构看起来复杂,其实只是套娃,不要被它吓到了。 导入的定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
IAT注入模块
07-30
对应于文章的IAT注入模块的示例,自己写的例子,直接可以运行。
导入解析,IAT解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 854
我们再上一章节简要介绍了IAT,我们知道如果程序调用dll中的函数时,必须通过IAT来找到函数,我们基本了解了IAT之后,我们今天来讲解一下导入,通过本章节的学习,我们可以了解导入,也能对IAT有一个更深入的了解。
IAT详解
cay22的专栏
02-05 7839
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
滴水三期:day39.1-IAT和导入
Edimade的博客
04-16 565
一、引入IAT(1.调用自己写的函数 > 2.调用DLL中的函数 > 3.易错误区)二、导入(1.导入是什么 > 2.定位导入 > 3.导入结构 > 4.IAT和INT > 5.总结)三、作业(1.打印程序运行前的导出
滴水逆向三期实践16:IAT和导入
Rivival_S 的博客
11-09 2691
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
逆向软件后,手把手教你如何修复IAT
10-31
逆向软件后,教你手把手修复IAT
修改exe PE格式中的IAT API钩子 通过修改IAT实现 截获API调用,替换之.zip
01-19
在提供的文件列中,`1修改PE格式中的IAT API钩子 通过修改IAT实现 截获MessageBoxW MessageBoxA等API 可自由修改自定义API实现函数.txt`很可能包含了具体实现的步骤和代码示例。`Module32First ...
导入 IAT 比10个字多
最新发布
04-15
好的资源让我电脑爆炸!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
PE导入IAT的原理及工作关系
qq_35289660的博客
07-14 4943
PE导入IAT的原理及工作关系 文章目录PE导入IAT的原理及工作关系0.说明1.PE导入IAT大致工作关系(1)为什么会有IAT(2)为什么会有导入2.导入IAT的真正关系(原理)(1)OriginalFirstThunk(2)Name(3)FirstAddress3.C语言解析导出(1)建议(2)C源代码4.移动导出到新增节区(1)流程(2)我遇到的困难(3)C源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水
IAT是如何实现的
zzx的博客
12-16 2300
我们知道当程序要调用系统dll时,会用到IAT 具体是怎么实现的呢, 假设我们程序中某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址中是一个jmp [A],A中存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A中存放的数据,而不是A本身,A中存放的数据
什么是 IAT(一)
北冥有鱼的Blog
03-13 9940
转自:信安之路IAT 三连之什么是 IAT?原创 2018-02-26 x-encounter 信安之路IAT 的全称是 ImportAddress Table。在可执行文件中使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入来完成的。导入...
PE文件学习笔记(五):导入IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
IAT入门简析【滴水逆向三期52笔记】
WdIg-2023的博客
04-01 449
如果我们讲函数写在程序的源文件中,那么该函数就会被编译器直接编译到程序的二进制文件中,在程序调用该函数的时候,E8后跟的地址是直接写死的,程序直接在exe文件中找到函数,也被称为直接寻址,因为程序可以直接从自生的二进制文件中找到函数。我们知道,exe在运行的时候,会有自己独立的4GB空间,exe贴到4GB空间的时候,基本上都能按照exe文件预定的位置贴上去,但是dll文件就不一样,它每次贴的位置可能都不一样,所以MessageBox函数的地址也不一样,那程序如何调用MessageBox函数呢?
PE格式第四讲,数据目录之导入,以及IAT
weixin_30682127的博客
10-13 201
           PE格式第四讲,数据目录之导入,以及IAT 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶IAT(地址) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 他会Call 下边的Jmp位置 而Jmp位置...
IAT结构分析
playmaker的博客
03-13 635
IAT结构分析 IAT介绍 解决兼容问题(不同机器的dll版本不同,地址自然不同),操作系统就必须提供一些措施来确保可以在其他版本的Windows操作系统,以及DLL版本下也能正常运行。 这时IAT(Import Address Table:输入函数地址)就应运而生了。 IAT定位 手工寻找 利用PEview找到程序的NT头的可选头内有个import table此处记录了其RVA。 根据结构体...
学PE文件结构之记笔记
YANG12345_6的博客
03-16 704
之前学过PE,但由于是只看的小甲鱼的视频,没有做笔记,后来就记忆模糊了。 再重温一遍,做一下笔记。记忆更深刻一点。 PE PE(protable executable) 可移植的可执行文件 EXE和DLL文件之间的区别是语义上的,他们使用完全相同的PE格式。唯一的区别:用一个字段标识出EXE或DLL。 64位Windows,新的PE : PE32+。普通PE:PE32.PE32+没有任何新的结构加进去。 PE格式定义的主要地方位于头文件 winnt.h,头文件中几乎能找到关于PE文件的所有定
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT、字符串及时间戳溯源
杨秀璋的专栏
08-12 8161
系统安全绕不开PE文件,PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
windows的IAT
07-28
Windows操作系统中的IAT(Import Address Table,导入地址)是用于动态链接库(DLL)的函数导入和调用的重要数据结构之一。它存储了DLL中需要被调用的函数的地址,使得在程序运行时可以动态地解析和调用这些函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值