2. 程式人生 > >PE文件格式中導入表和ITA表總結20180508

PE文件格式中導入表和ITA表總結20180508

阿新 發佈:2018-05-08
med 只有一個 文件 term 說明 def 文件中 內容 nal

PE文件中重要的表有:1.導出表,2.導入表,3.IAT表,4.重定位表,5.資源表
導入表的結構體:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
DWORD Characteristics; // 0 for terminating null import descriptor
DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
};
DWORD TimeDateStamp; // 0 if not bound,
// -1 if bound, and real date\time stamp

 
// in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
// O.W. date/time stamp of DLL bound to (Old BIND)

DWORD ForwarderChain; // -1 if no forwarders
DWORD Name;
DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

以上結構體成員不多,而且有用的成員只有第一個共用體成員,第四個dll名稱,第五個FirstThunk(ITA表首地址)。
一一詳解如下:
1)第一個成員雖為共用體,但常用的類型是共用體中第二個成員DWORD OriginalFirstThunk,看到名稱就知道和第五
個成員變量很像,它們記錄的是THUNK_DATA表的RVA,其實以上結構體的第一個和最後一個成員的類型可以改成PIMAGE_THUNK_DATA,
但之所以沒改,我想原因是第五個成員指向的RVA也是IAT表地址,而IAT表是用於填API地址指針的,而函數指針類型各異,所以
統一用DWORD表類型,當然用LPVOID也是合理的。或者可以這麽理解,OriginalFirstThunk和FirstThunk在文件中是類型應該是
PIMAGE_THUNK_DATA,但加載到內存後就是LPVOID或者DWORD了。
再看一下PIMAGE_THUNK_DATA是什麽類型指針,

typedef struct _IMAGE_THUNK_DATA32 {
union {
PBYTE ForwarderString;
PDWORD Function;
DWORD Ordinal;
PIMAGE_IMPORT_BY_NAME AddressOfData;
} u1;
} IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

別看以上結構體好像很龐大,但其實其中的成員只有一個共用體,就相當於一個DWORD類型的大小,共用體中常用的類型是
DWORD Ordinal和PIMAGE_IMPORT_BY_NAME AddressOfData,至於到底是序號還是名稱,通過該值的最高位得到,如果最高位是1,
則表明是序號,序號保存在後兩個字節中,其實也說明序號導出只能導出65536個函數,如果最高位是0,則表明是API名稱導出,
但該值並不直接指向API名稱的地址,而是指向一個結構體,如下的一個柔性數組:

typedef struct _IMAGE_IMPORT_BY_NAME {
WORD Hint;
BYTE Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

頭一個二字節的成員很少用,直接用第二個,即API名稱地址。PIMAGE_THUNK_DATA就是如上說明,OriginalFirstThunk和
FirstThunk中如果有值,則是按以上方式解析。一個dll對應的導入表中只會有一個PIMAGE_THUNK_DATA表,也就是說一般
OriginalFirstThunk和FirstThunk指向的文件中內容是一樣的,並且因為FirstThunk還是IAT表,所以和Nt頭中數據目錄的第12
指向的內容是一樣的。
那現在又有一個問題了,系統在加載PE文件時是以哪個成員指向的數據為準呢?其實是,先看OriginalFirstThunk中數據是
否在,如果不在或者是錯的值(被人手工修改),則讀FirstThunk中數據或者有可能加載不了,當OriginalFirstThunk和FirstThunk
都沒指向PIMAGE_THUNK_DATA數據時,則肯定是加載不了的,另外,當OriginalFirstThunk中指向數據正確,FirstThunk改成其它
有效數據也是可以的。指向的PIMAGE_THUNK_DATA表以零結尾,加載到0則加載下一個導入表。
2)IMAGE_IMPORT_DESCRIPTOR的第四個成員變量是dll名稱,很重要,不能改錯,不然沒法加載了,一個dll對應一個導入表。

PE文件格式中導入表和ITA表總結20180508

相關推薦

PE格式中導ITA總結20180508

med 只有一個 文件 term 說明 def 文件中 內容 nal PE文件中重要的表有:1.導出表,2.導入表,3.IAT表,4.重定位表,5.資源表導入表的結構體: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union {

PE格式詳解,第一講,DOS頭格式

www new 中斷 relative fun 意義 word 作用 nor            PE文件格式詳解,第一講,DOS頭文件格式 今天講解PE文件格式的DOS頭文件格式 首先我們要理解,什麽是文件格式,我們常說的EXE可執行程序,就是一個文件格式,那麽

PE格式詳解(四)

ebs 位置 數位 地址 inf font pe文件 。。 地址轉換 PE文件格式詳解(四) 0x00 前言 上一篇介紹了區塊表的信息,以及如何在hexwrokshop找到區塊表。接下來,我們繼續深入了解區塊,並且學會文件偏移和虛擬地址轉換的知識。 0x01 區塊對齊值

PE格式詳解(六)

itme lordpe order 詳解 proc table mil create 實踐 0x00 前言 前面兩篇講到了輸出表的內容以及涉及如何在hexWorkShop中找到輸出表及輸入DLL,感覺有幾個地方還是沒有理解好,比如由數據目錄表DataDirectory[

PE格式詳解(七)

msgbox nbsp clas com 類型 結構 size date 是的 PE文件格式詳解(七) Ox00 前言 前面好幾篇在講輸入表,今天要講的是輸出表和地址的是地址重定位。有了前面的基礎,其實對於怎麽找輸出表地址重定位的表已經非常熟悉了。 0x01

mybatis mapper xml的導方式查詢方式

完全 posit over 1.3 inline rgb sqlmap enter ava mybatis mapper xml文件的導入方式和查詢方式ssm框架 Mybatis mapper與SQLSession的關系 每個基於MyBatis的應用都是以一個

分配粒度內存頁面大小(x86處理器平臺的分配粒度是64K,內存頁是4K,所以section都是0x1000對齊,硬盤扇區大小是512字節,所以PE默認對齊是0x200)

tail details lpad 硬件 512字節 地址 系統 pad 原因 分配粒度和內存頁面大小x86處理器平臺的分配粒度是64K,32位CPU的內存頁面大小是4K,64位是8K,保留內存地址空間總是要和分配粒度對齊。一個分配粒度裏包含16個內存頁面。這是個概念,具體

比較Apache Hadoop生態系統中不同的格式存儲引擎的性能

報告 indent 然而 microsoft 要花 ont 目錄 總結 千兆 這篇文章提出了在Apache Hadoop生態系統中對比一些當前流行的數據格式和可用的存儲引擎的性能:Apache Avro,Apache Parquet,Apache HBase和Apache

DOS、Mac Unix 格式+ UltraEdit使用

選項 就會 ultra app hex vip view .html unix環境 一、文本格式區別 用UltraEdit打開unix文本文件時總會提示:是否將文件轉換為dos格式。在windows編輯配置文件,然後用ftp上傳到linux主機,發現運行時讀取配置文件有錯

Mach-O格式程序從載入到運行過程

height star 也會 linked trail dylib 建立 helper cmd > 之前深入了解過。過去了一年多的時間。如今花些時間好好總結下,畢竟好記性不如爛筆頭。其次另一個目的,對於mach-o文件結構。關於動態載入信息那個數

java使用POI操作excel,實現批量導出,

tar.gz spa != nts big 應該 關於 override auth 一、POI的定義 JAVA中操作Excel的有兩種比較主流的工具包: JXL 和 POI 。jxl 只能操作Excel 95, 97, 2000也即以.xls為後綴的excel。而po

MyBatis之Mapper XML 詳解(二)-sql

java mybatis sql 參數 mapper sql這個元素可以被用來定義可重用的 SQL 代碼段,可以包含在其他語句中。它可以被靜態地(在加載參數) 參數化. 不同的屬性值通過包含的實例變化. 比如:<sql id="userColumns"> $

如何批量修改Word中的表格樣式題注格式

在進行大型專案的方案文件設計時,一個文件中有可能涉及到上百個圖表,在最後定稿的時候,需要進行統一的格式化處理。面對這些數目龐大的表格,挨個用格式刷進行處理,一路刷下來往往手都會刷酸,更令人奔潰的是好不容易刷完了,發現字型或大小不對,這時候可能需要再重新刷一遍。那

Apache POI讀寫Excel入門(支援XLSXLSX格式

值得一提的是,POI的全稱是Poor Obfuscation Implementation,意為“簡陋又模糊的實現”,這和slf4j(Simple Log Facade for Java,Java簡單日誌門面)的取名有異曲同工之妙。這兩個東西實際上是非常強大的,但是它們的作者卻說自己的東西很poor、很sim

小D課堂【SpringBoot】SpringBoot熱部署devtool配置自動註實戰

生效 相關 not test depend 啟動應用 設置 應用程序 path ========================3、SpringBoot熱部署devtool和配置文件自動註入實戰 3節課============================ 加入小D課堂

五.目錄,的瀏覽,管理維護

linux文件系統 維護 結構 mkdir 硬件 配置文件 查看 路徑 目錄 一.linux文件系統的層次結構: a)在linux中,所有的文件和目錄都被組織成一個由一個根結點的樹狀結構,如 mkdir -p /a/b/c/d ,用tree 命令查看能直觀顯示目錄的結構為樹

解析PE的附加數據

dos 寫入 image creat class filesize content res file 解析程序自己的附加數據,將附加數據寫入文件裏。 主要是解析PE文件頭。定位到overlay的地方。寫入文件。常應用的場景是在crackme中,crackme自身有一段加

win32下PE分析之DOS頭

二進制 c語言 pe win32 dos頭解析 (一).win32下的PE文件: PE是Portable Execute的縮寫,是可移植可執行的意思,只要文件的數據結構遵循PE結構,就屬於PE文件,windows中常見的PE文件有 *.sys驅動類文件 *

win32下PE分析之NT頭

二進制 c語言 pe win32 nt頭解析接上一篇的win32下PE文件分析之DOS頭(一)win32中PE的NT: NT頭是PE文件中標準PE頭和可選PE頭的總體稱謂,還包含一個PE標識.下面是它在Visual C++ 6.0中WINNT.h中的定義:typedef struct _IMAGE_NT

Linux學習之三:夾系統的結構相對(絕對)路徑

sharp 二進制 沒有 數據 csharp pan 用戶 ont 臨時 理解每個目錄的作用 bin   二進制文件 boot   系統的啟動文件、內核 dev   設備文件 etc   配置文件 home  用戶的家目錄 lib    鏈接庫文件  l