PE文件导入表代码解析

最新推荐文章于 2021-12-24 12:26:57 发布
最新推荐文章于 2021-12-24 12:26:57 发布
阅读量572 收藏
点赞数
分类专栏: PE 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzy1448331580/article/details/89761229
版权

解析导入表就需要先认识下面这三个结构体 

//导入表结构体
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
	union {
		DWORD   Characteristics;   

		//主要这个,包含指向INT的RVA
		DWORD   OriginalFirstThunk;
	};

	//时间标识
	DWORD   TimeDateStamp;  

	//与转发有关
	DWORD   ForwarderChain;             

	//这就是DLL文件名
	DWORD   Name;

	//IAT的RVA
	DWORD   FirstThunk; 
} IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR;

 

//
typedef struct _IMAGE_THUNK_DATA32 {
	union {

		//转发器有关
		DWORD ForwarderString;

		//IAT有关
		DWORD Function;

		//当前结构高位为1是有关
		DWORD Ordinal;

		//不是上面三个的时候这个就发挥作用
		//指向输入名称表
		DWORD AddressOfData;
	} u1;
} IMAGE_THUNK_DATA32,*PIMAGE_THUNK_DATA32;
//输入名称表
typedef struct _IMAGE_IMPORT_BY_NAME {

	//导入的函数序号
	WORD    Hint;

	//导入的函数名称
	CHAR   Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

 IMAGE_IMPORT_DESCRIPTOR(导入表)仅仅是一个引导者,引导系统找到那两个保存有真正导入信息的结构体,也就是IMAGE_THUNK_DATA和IMAGE_IMPORT_BY_NAME。

实现代码: 


BOOL PEAnalyseSpace::PEAnalyse::ShowImport()
{
	//执行是否成功
	BOOL bRet = FALSE;

	//导入表指针
	PIMAGE_IMPORT_DESCRIPTOR pImport = NULL;

	//指针
	PIMAGE_THUNK_DATA pThunk = NULL;

	//导入名称表指针
	PIMAGE_IMPORT_BY_NAME pName = NULL;

	//字符串指针
	PCHAR pszName = NULL;

	do 
	{
		//没有解析
		if (m_lpBase == NULL)
		{
			break;
		}

		//没有导入导入表,这个是不可能的
		if (m_pNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size == NULL)
		{
			break;
		}

		//获取导入表
		pImport = (PIMAGE_IMPORT_DESCRIPTOR)
			(RVAtoOffset(m_pNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress)
				+ (DWORD)m_lpBase);

		//循环遍历
		while (pImport->Name)
		{
			//获取导入地址表
			pThunk = (PIMAGE_THUNK_DATA)
				(RVAtoOffset(pImport->OriginalFirstThunk) + (DWORD)m_lpBase);

			//获取模块名字
			pszName = (PCHAR)(RVAtoOffset(pImport->Name) + (DWORD)m_lpBase);


			cout << "Module Name Is: "
				<< pszName
				<< endl;

			//循环遍历地址
			while (pThunk->u1.AddressOfData)
			{
				//判断是序号导入还是名称导入
				//序号
				if (IMAGE_SNAP_BY_ORDINAL32(pThunk->u1.AddressOfData))
				{
					cout << "Index Import -> ID: "
						<< hex
						<< (pThunk->u1.Ordinal & 0xffff)
						<< endl;
				}
				else//名称导入
				{
					//获取导入名称
					pName = (PIMAGE_IMPORT_BY_NAME)
						(RVAtoOffset(pThunk->u1.AddressOfData)
							+ (DWORD)m_lpBase);
					cout << "Name Import -> ID: "
						<< hex
						<< pName->Hint
						<< "\tName: "
						<< pName->Name
						<< endl;
				}
				pThunk++;
			}
			cout << endl;
			pImport++;
		}
		bRet = TRUE;
	} while (FALSE);
	return bRet;
}

 实际效果:

Github:源代码下载

ThatAllOver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结10---PE文件结构之导入 (IMAGE_IMPORT_DESCRIPTOR
oBuYiSeng的博客
12-11 4308
1、导入基址是PE文件从其他三方程序中导入API,以供本程序调用的机制 2、是分析最好的切入点 IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色,引导系统找到真正保存有导入信息的其他两个结构:  IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_DESCRIPTOR {
PE文件导入
weixin_43742894的博客
04-01 1786
一个PE文件中的导入,简单来说就是代了该模块调用了哪些外部的API。 导入是逆向和病毒分析中比较重要的一个,在分析病毒时几乎第一时间都要看一下程序的导入的内容,判断程序大概用了哪些功能。
IMAGE_IMPORT_DESCRIPTOR结构
Ghjhfssfgk的博客
01-28 979
IMAGE_IMPORT_DESCRIPTOR结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { DWORD OriginalFirstThunk; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThunk; } IMAGE_IMPORT...
《逆向工程核心原理》第13章——PE文件格式(2):IAT与EAT
diamond_biu的博客
12-08 1366
PE文件格式(2):IAT与EATIATDLLIMAGE_IMPORT_DESCRIPTOR使用notepad.exe练习1 库名称(Name)2 OriginalFirstThunk-INT3 IMAGE_IMPORT_BY_NAME4 FirstThunk-IATEAT IAT IAT:导入地址Import Adress Table)。简而言之IAT是一种格,用来记录程序正在使用哪些库中的哪些函数。 DLL 16位DOS时代调用函数时,会从C库中读取相应函数的二进制代码并将其插入应用程序。而Wi
12.PE文件导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5560
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件格式(二)
周星星的博客
10-20 1925
EAT是一种核心机制,它使不同的应用程序可以调用库文件中提供的函数。也就是说,只有通过EAT才能准确求得从相应库中导出函数的起始地址。
PE解析导入--实例
跃然实验室
06-11 429
//得到导入的信息:导入库名,导入函数ID,导入函数地址 void CPe32 ::GetImportTableInfo() { if (m_bSuccess) { //空结尾的导入结构成员 I...
PE文件导入解析(C++)
05-01
通过阅读和理解这些源代码,我们可以学习如何在C++中处理PE文件结构,以及如何访问和解析导入。 总结来说,解析PE文件导入是理解和调试Windows程序的关键技能。通过C++编程,我们可以直接操作文件的二进制...
修复PE 文件导入
09-02
"PEConsole"可能是一个包含示例代码的VS2003工程,提供了修复PE文件导入的功能。通过查看和学习这个工程,我们可以更深入地理解导入的结构以及如何进行修复操作。在实际应用中,这样的工具对于调试、逆向工程、...
改写PE文件导入加载DLL
03-18
通过对PE文件导入进行静态或动态分析,我们可以发现异常的DLL加载行为,从而找出可能存在的恶意代码。 需要注意的是,直接修改PE文件导入是一项精细的工作,需要对PE文件结构有深入的理解,否则可能导致...
VC 解析PE导出 导入
01-16
本篇文章将详细解析VC(Visual C++)如何处理PE文件的导出导入。 **导出**是PE文件中一个关键的组成部分,它包含了该文件对外提供的函数或资源的清单。当其他程序需要调用某个DLL中的函数时,会通过导出...
ParsePe_等价替换PE文件指令_解析PE文件_
10-03
4. **导出和导入**:PE文件可能包含导出(Export Table),用于其他模块调用其函数,以及导入Import Table),引用了其他模块的函数或资源。 5. **重定位和资源**:PE文件可能需要进行重定位,即根据加载时...
如何从PIMAGE_IMPORT_DESCRIPTOR节,得到某个API函数(导入函数)代码地址
lessonzhe的专栏
04-24 3767
//功能:得到某个API函数(导入函数)代码地址//参数://pImport: PIMAGE_IMPORT_DESCRIPTOR//pProcName: 函数名或序号const FARPROC GetFunctionFARPROC( PIMAGE_IMPORT_DESCRIPTOR pImport, LPCSTR pProcName) { PIMAGE_THUNK_DATA pThunk;
IMAGE_IMPORT_DESCRIPTOR
夜空中最亮的星
10-30 7741
IMAGE_IMPORT_DESCRIPTOR结构体中记录着PE文件导入哪些库文件
《逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1604
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
C语言实现导入注入
jxust_xiaoxiong
11-24 534
导入注入原理: 当exe被加载时,系统会根据exe导入信息来加载需要用到的DLL,导入注入的原理就是修改exe导入,将自己的DLL写入exe中 导入注入的实现步骤: 第一步:根据目录项(第二个就是导入)得到导入信息 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress;:指向导入结构 DWO...
小甲鱼PE详解之输入导入)详解2(PE详解08)
wanghongxueluoyang的博客
12-24 519
在此之前,我们已经对这个输入进行了一些实践和理解,这有助于大家对这个概念更进一步的加深认识。小甲鱼觉得,越是复杂的问题我们应该越是去动手操作它,认识它,这样才容易熟悉它! 在上一节课我们像小鹿一样的乱撞,终于撞到了输入里边包含的函数名称,嘿嘿,不过地址,我们还是没能找着……这节课我们将深入来剖析输入的结构,通过结合实例分析来帮助大家理解输入的工作原理。输入结构 回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就
聚类算法实现本次作业实现了3个经典算法:KNN算法、K-Means算法、朴素贝叶斯算法
最新发布
08-15
本次作业实现了3个经典算法:KNN算法、K-Means算法、朴素贝叶斯算法。
PE文件格式全面解析
例如,PEFILE.DLL提供了接口,可以方便地提取和分析PE文件的各个部分,如获取导出函数、解析导入、检查节属性等。通过这样的工具,开发者或安全研究人员可以更深入地了解程序的行为和依赖关系。 在实际应用中,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值