PE文件解析-加载配置表、绑定导入表、导入地址表与延迟导入表

最新推荐文章于 2023-04-19 23:58:22 发布
最新推荐文章于 2023-04-19 23:58:22 发布
阅读量1.6k 收藏
点赞数 4
分类专栏: 文件解析 文章标签: PE文件解析 加载配置表 绑定导入表 延迟导入表 导入地址表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyulo/article/details/85927913
版权

一、加载配置表

1.位置与简介

    载入配置表早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。
    后来以XP及以后的系统主要是为了存储SEH句柄,称为安全结构化异常处理程序列表,如果SEH异常处理没有经过注册,在载入配置表中没有句柄,这个异常处理就不会被执行。
    据微软官方说明,这个载入配置表的作用是为了防止“x86异常处理程序劫持”的漏洞。因为年代久远就无从考据了。

    PE文件头可选映像头中数据目录表的第11成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG]指向加载配置表。

2.数据结构

    加载配置表起始于IMAGE_LOAD_CONFIG_DIRECTORY,它的定义如下:

typedef struct _IMAGE_LOAD_CONFIG_DIRECTORY {
    DWORD   Characteristics;              //属性,当前没使用
    DWORD   TimeDateStamp;                //(GMT时间)
    WORD    MajorVersion;                 //主版本号
    WORD    MinorVersion;                 //子版本号
    DWORD   GlobalFlagsClear;             //启动时清除全局标志
    DWORD   GlobalFlagsSet;               //启动时设置全局标志
    DWORD   CriticalSectionDefaultTimeout;//程序关键部分默认超时值
    DWORD   DeCommitFreeBlockThreshold;   //返回系统前必须释
最低0.47元/天 解锁文章
zhyulo
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Unity加载json配置
01-19
Unity通过C#加载json配置(json的读取,解析配置的自动生成)
SpringMvc+POI处理excel数据导入
08-27
然后,在 spring-mvc.xml 配置文件中,我们需要配置文件上传的相关设置,包括默认编码、文件大小最大值和内存中的最大值。 相关工具类及代码编写 在编写 Excel 解析工具类时,我们需要使用 POI 的 API 来读取 ...
代码保护软件VMProtect用户手册之内置脚本的使用(2)——PE文件
励志做最业余的专业博主,控件产品可以私我~
09-27 438
VMProtect是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。//返回给定地址的部分。//返回具有给定名称的导出函数。//返回给定地址的元素。//返回带有给定索引的导入函数。//返回具有给定名称的资源。//返回具有给定名称的资源。//返回具有给定索引的体系结构。//返回具有给定名称的库。//返回给定类型的目录。//返回给定类型的资源。//返回具有给定索引的目录。//返回具有给定索引的导出函数。
滴水三期:day40.1-绑定导入
Edimade的博客
04-19 339
一、引入绑定导入 > 二、绑定导入(1.定位 > 2.绑定导入结构 > 3.作用)> 三、作业(1.打印绑定导入
13.PE文件绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 3825
绑定导入数据的存在主要是为了优化导入信息,提高PE加载效率. 当PE文件加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
【翻译】“PE文件格式”1.9版 完整译文(附注释)
10-30 1144
标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释)作 者: ah007时 间: 2006-02-28,13:32链 接: http://bbs.pediy.com/showthread.php?threadid=21932$Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $PE文件格式系列译文之一----          【
PE进阶】手动添加TLS回调函数
weixin_33672109的博客
11-26 680
前情提要 Demo代码 #include <windows.h> int tls(){ MessageBox(NULL,"This is TLS CallBack!","TLS Success",MB_OK); return 0; } int main(){ MessageBox(NULL,"This ...
Spring主配置文件(applicationContext.xml) 导入约束详解
08-25
在 Spring 主配置文件中,导入约束是指从外部 XML 模式定义文件(XSD 文件)中导入约束的过程,这样可以使得 Spring 框架能够正确地解析和使用配置文件中的各种元素和属性。下面是 Spring 主配置文件导入约束的...
17-IoC配置-import导入配置文件
04-25
Spring容器加载多个配置文件(了解) new classPathxmlApplicationcontext ( "config1.xml " , "config2.xml" ); Spring容器中的bean定义冲突问题 ... 导入配置文件的顺序与位置不同可能会导致最终程序运行结果不同
spring通过导入jar包和配置xml文件启动的步骤详解
08-18
"Spring框架入门:通过导入jar包和配置xml文件启动" Spring框架是一个基于Java的开源框架,它提供了一个通用的应用程序框架,帮助开发者快速构建企业级应用程序。今天,我们将探索如何通过导入jar包和配置xml文件来...
获取进程中导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
PE文件结构详解(四)PE导入
zdwcmy的专栏
06-17 382
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
PE文件结构
c630843901的博客
04-28 616
文章目录DOS头PE头区段区段理解一下 简述:PE文件分为5个部分 DOS文件头 DOS加载模块 PE文件头 区段 区段 PE文件中显示的地址全部都是RVA,换算成VA需要加上基地址ImageBase与文件偏移地址RVA 虚拟地址(VA):每个32位PE文件加载到内存中会分配4GB的虚拟内存,虚拟地址=基址+程序相对地址 相对虚拟地址(RVA):是当PE文件被展开时相对于文件头的地址,这个地址+ImageBase就是真正的虚拟地址 程序入口点 (EOP):程序开始执行的地方 DOS头 DOS
PE文件格式学习(十四):绑定导入(BoundImportDirectory)
tutucoo
11-08 889
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导入的DLL...
PE结构(四) 绑定导入
weixin_37673331的博客
02-29 457
1.关于绑定导入 一般情况下,在程序加载前IAT和INT中的内容相同,都是程序引用的dll中的函数的函数名或序号; 加载完成后IAT中将替换为函数的真正地址; 但在加载前IAT中直接写绝对地址是可以实现的; 加载前在IAT中保存绝对地址的优点:启动程序快; 在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT修复为地址等等; 如果直接用绝对地址,则省去了修复IAT的操作...
PE-导入
megaparsec
12-19 1884
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件格式学习(十五):导入地址(ImoortAddressTable)
tutucoo
11-08 747
导入地址的内容其实就是导入中的FirstThunk的内容,本例使用的是PE文件格式学习(十四):绑定导入一文中的程序,因为它有绑定导入,所以它的FirstThunk会被填入导入中函数的真实地址。 ...
读取PE文件导入
weixin_34220963的博客
09-08 407
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .ida...
python 读写PE文件模块pefile
it技术学习
05-20 4489
发现很多的朋友经常用到PE格式相关的开发,如解析PE文件的格式,获取相关的内容。 比如常常用到的静态的病毒启发式检测模型的建立、病毒样本分类、查壳脱壳等。 搜索了一下发现论坛里面没有我要讲的这个东西,于是我在这里向大家推荐pefile这个python库。 这个是基于MIT licence的一个开源项目,你可以在上面做更多的开发。 开发包的下载地址:http://code.google.co
shell脚本把数据文件导入
最新发布
07-29
您好!如果您想要使用Shell脚本将数据文件导入中,可以使用以下步骤: 1. 确保您已经安装并配置了数据库系统,例如MySQL、PostgreSQL等。 2. 创建一个,定义好结构,以适应您的数据文件。可以使用数据库命令行工具或者图形化界面工具进行创建。 3. 编写Shell脚本来导入数据文件中。以下是一个示例脚本: ``` #!/bin/bash # 数据库连接配置 DB_HOST="localhost" DB_PORT="3306" DB_USER="your_username" DB_PASS="your_password" DB_NAME="your_database" # 数据文件路径 DATA_FILE="path/to/your/data/file.csv" # 导入数据到中 mysql -h $DB_HOST -P $DB_PORT -u $DB_USER -p$DB_PASS $DB_NAME <<EOF LOAD DATA INFILE '$DATA_FILE' INTO TABLE your_table FIELDS TERMINATED BY ',' ENCLOSED BY '"' LINES TERMINATED BY '\n' IGNORE 1 ROWS; EOF ``` 请注意,上述示例是使用MySQL数据库的示例,如果您使用其他数据库,请相应地修改数据库连接配置导入数据的命令。 4. 保存脚本为一个可执行文件,例如`import_data.sh`。 5. 在终端中运行脚本:`./import_data.sh`。 这样就可以将数据文件导入中了。请确保数据文件的格式与结构相匹配,并根据实际情况修改脚本中的配置项。 希望对您有所帮助!如果您有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值