【PE学习-------导入表】

最新推荐文章于 2024-10-11 23:59:48 发布
原创 最新推荐文章于 2024-10-11 23:59:48 发布 · 791 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文提供了一段C++代码,用于解析PE文件的导入表信息,包括DLL名称、时间戳等,并展示了如何读取导入函数的名称及地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

输出 打印 PE文件的  导入表信息

// ImportTable.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include <DbgHelp.h>

#pragma comment(lib,"Dbghelp.lib")
PIMAGE_NT_HEADERS g_pNt = NULL;


//判断文件是否为PE文件
BOOL CheckPeFile(LPVOID ImageBase)
{
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)ImageBase;
    if (pDos->e_magic != IMAGE_DOS_SIGNATURE)
    {
        return FALSE;
    }
    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((DWORD)(ImageBase) + pDos->e_lfanew);
    if (pNt->Signature != IMAGE_NT_SIGNATURE)
    {
        return FALSE;
    }
    g_pNt = pNt;
    return TRUE;
}

//获取导入表的信息
void GetImportInfo(LPVOID ImageBase, PIMAGE_NT_HEADERS pNtHeader)
{
    DWORD dwRva = pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
    LPVOID ImportVirtual = ImageRvaToVa(pNtHeader, ImageBase, dwRva, NULL);
    PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)ImportVirtual;
    DWORD dwCount = 0;
    while (pImport->FirstThunk)
    {
        LPVOID name = ImageRvaToVa(pNtHeader, ImageBase, pImport->Name, NULL);
        printf("DllName:  %s\n", (char*)name);
        printf("OriginalFirstThunk:   0x%08X\n", pImport->OriginalFirstThunk);
        printf("TimeDateStamp:        0x%08X\n", pImport->TimeDateStamp);
        printf("ForwarderChain:       0x%08X\n", pImport->ForwarderChain);
        printf("Name:                 0x%08X\n", pImport->Name);
        printf("FirstThunk:           0x%08X\n", pImport->FirstThunk);
        LPVOID thunkRva = ImageRvaToVa(pNtHeader, ImageBase, pImport->OriginalFirstThunk ? \
            pImport->OriginalFirstThunk:pImport->FirstThunk, NULL);
        PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)thunkRva;
        printf("    FunctionAddress        Hint        FunctionName        \n");
        while(pThunk->u1.Function)
        {
            printf("    0x%08X", pThunk->u1.Function);
            LPVOID byName = ImageRvaToVa(pNtHeader, ImageBase, (DWORD)pThunk->u1.AddressOfData, NULL);
            PIMAGE_IMPORT_BY_NAME pByName = PIMAGE_IMPORT_BY_NAME(byName);
            printf("        0x%04X", pByName->Hint);
            printf("      %s\n", (char*)pByName->Name);
            pThunk++;
        }
        dwCount++;
        pImport++;
    }
    printf("The total Import Table is %d\n", dwCount);

}
int _tmain(int argc, _TCHAR* argv[])
{

    if (argc != 2)
    {
        printf("请输入参数!\n");
        return -1;
    }
    HANDLE hFile = CreateFile(argv[1], GENERIC_READ, 0, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFile == INVALID_HANDLE_VALUE)
    {
        printf("Error createfile %d\n", GetLastError());
        return -1;
    }
    DWORD dwFileSize = GetFileSize(hFile, NULL);
    HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, dwFileSize, NULL);
    if (hMap == NULL)
    {
        CloseHandle(hFile);
        return -1;
    }
    //映射文件到内存中
    LPVOID ImageBase = MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, dwFileSize);
    if (ImageBase == NULL)
    {
        CloseHandle(hFile);
        UnmapViewOfFile(hMap);
        return -1;
    }
    printf("MapView success !\n");
    if (!CheckPeFile(ImageBase))
    {
        printf("This is  not PE file\n");
        return 0;
    }
    printf("-----------------------Import--Information---------------------------\n");
    
    GetImportInfo(ImageBase, g_pNt);
    printf("----------------------------End--------------------------------------\n");
    CloseHandle(hFile);
    UnmapViewOfFile(hMap);
    return 0;
}

初学PE文件,有不足的地方请指出;高手飘过 


可编译代码下载地址点击打开链接

尘埃_
关注
IAT详解
cay22的专栏
02-05 8219
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
读取PE文件的导入
weixin_34220963的博客
09-08 481
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .ida...
手动加载PE文件
gongxie0235的博客
05-13 1137
今天手撸一下加载PE文件,并执行加载的PE文件。看完这一节之后相信大家会对PE文件的结构和在内存中的加载顺序有一个比较深刻的理解。本文中可能对PE文件的基础知识介绍的不是很详细,建议大家先看看PE文件的基础结构,了解了这些基础知识后再看本文会简单许多。废话不多说,下边让我们进入正是环节吧~
PE结构之导入
最新发布
weixin_43751677的博客
10-11 569
如果某个导入的时间戳==-1 ,请查看。
WINNT.H内的_IMAGE_IMPORT_BY_NAME 变长数组示例
MessCodes
02-16 3089
研究WINNT.H里面的导入结构体_IMAGE_IMPORT_BY_NAME 时,发现一个问题,结构体成员Name数组竟然是1,但是实际上反汇编看到是一个不同长度的字符串。怎么实现的呢?很多人在网上提到如下说法,但没有深入分析为什么。这里就给出一个参考例子。说明怎么搭建那个名字的。当然这个名字都是由 typedef struct _IMAGE_THUNK_DATA32 {
CheckPE.rar_Pe-file_infector_pe
09-22
从标签"pe-file_infector pe"我们可以进一步推测,内容将深入到PE文件的结构,特别是那些被恶意代码利用的部分,如节区(section)、导入(Import Table)、出口(Export Table)等,这些是恶意软件常篡改的地方...
pedump_src.rar_PE格式_Pe-file_infector_pe_pe dump_pedump
09-19
4. 导入和导出:PE文件可以包含导入和导出,用于指定文件依赖的其他函数和库(导入),以及对外提供的函数和服务(导出)。 5. 资源:这部分包含了如图标、菜单、对话框和字符串等用户界面相关的资源。 "Pe-file...
OEP.rar_OEP_Pe-file_infector
09-24
PE文件结构复杂,包含了诸如头信息、节区、导入导出等一系列元数据。而OEP(Original Entry Point),即原始入口点,是PE文件加载到内存后执行的第一个指令的地址,它是程序执行流程的起点。 在《OEP.rar_OEP_Pe-...
pecoff_v8.rar_pe-coff v8_pecoff_v8. doc_pecoff_v8.doc
09-23
- 导入:列出PE文件依赖的其他DLL和它们的函数或导出符号。 - 出口:定义PE文件导出的函数或变量,供其他模块使用。 - 弹性加载配置:用于延迟加载DLL,提高启动性能。 - 资源:存储应用程序的资源,如...
cad快捷键命令-最实用的-1.pdf
03-16
CAD,即计算机辅助设计(Computer-Aided Design),是一种广泛用于工程和设计领域的软件工具,用于绘制、修改和分析二维和三维图形。...对于初学者来说,逐步学习并熟练运用这些快捷键,是成为高效CAD用户的关键步骤。
使用VC++6.0实现查看dll导出函数名的C++源代码
02-07
HMODULE hModule=::LoadLibrary("DbgHelp.dll"); if(hModule==NULL) return; PFNEXPORTFUNC ImageRvaToVax=NULL; ImageRvaToVax=(PFNEXPORTFUNC)::GetProcAddress(hModule,"ImageRvaToVa"); if(ImageRvaToVax==NULL) { UnmapViewOfFile(mod_base); CloseHandle(hFileMap); CloseHandle(hFile); ::FreeLibrary(hModule); MessageBox("取得函数失败\n"); return ; } ::FreeLibrary(hModule); UnmapViewOfFile(mod_base); CloseHandle(hFileMap); CloseHandle(hFile);
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 6312
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件结构部分解析以及输入的定位
weixin_30682415的博客
02-18 163
PE文件定义 PE 文件(”Portable executable”, 可移植的可执行文件)文件格式,是微软Windows NT, 中Win32、Win32s中的可执行的二进制的文件格式。 包括:.exe, .dll, .sys, .com, .ocs. PE文件最重要的两个因素: 1.磁盘上的可执行文件和它被映射到windows内存之后的格式非常相像。 2.对于Win32 来讲, 模块中...
r77-Rootkit后渗透技战术分析
m0_71746299的博客
02-13 2500
r77-Rootkit是一个Ring3级别的Rootkit。Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit并不一定是用作获得系统root访问权限的工具。比起攻击,Rootkit更倾向于被使用于隐藏踪迹和保留root访问权限的工具。
如何使用WINSOCK命令处理消息,Api hook拦截修改socket数据包!!!
热门推荐
Zfrong繁荣的IT技术、IT项目、解决方案专栏Blog-上海
12-26 1万+
通过对动作模拟技术的介绍,我们对游戏外挂有了一定程度上的认识,也学会了使用动作模拟技术来实现简单的动作模拟型游戏外挂的制作。这种动作模拟型游戏外挂有一定的局限性,它仅仅只能解决使用计算机代替人力完成那么有规律、繁琐而无聊的游戏动作。但是,随着网络游戏的盛行和复杂度的增加,很多游戏要求将客户端动作信息及时反馈回服务器,通过服务器对这些动作信息进行有效认证后,再向客户端发送下一步游戏动作信息,
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1510
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
dbeaver导出结构_干货分享丨哥带你学习导入导入注入
weixin_39860952的博客
11-28 998
今天的文章分享是 i 春秋作者flag0原创的文章,浅析导入导入注入的相关内容,文章篇幅较长,阅读时长约15分钟,文章未经许可禁止转载!导入的概述导入是逆向和病毒分析中比较重要的一个,在分析病毒时几乎第一时间都要看一下程序导入的内容,判断程序大概用了哪些功能。导入位于数据目录项中的第二项,一般会有多个,每调用一个DLL便存在一张导入导入记录了导入的dll中被调用的函数地址。导...
PE文件结构详解(四)PE导入
zdwcmy的专栏
06-17 493
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
php读取pe文件,C++ 读取PE文件信息(读取PE导入等)
weixin_39854951的博客
03-22 376
[C++] 纯文本查看 复制代码// ReadPEInfo.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #include #include #include void ReadNTPEInfo(PIMAGE_NT_HEADERS pImageNtPE);ULONG RvaToOffset(IMAGE_NT_HEADERS * pNtHeade...
打印导入
qq_41232519的博客
10-12 557
文章目录一、流程二、演示三、完整代码四、勿在浮沙筑高台 一、流程 1、File-> FileBuffer 2、定位导入 3、循环导入 4、获取导入名字 5、获取INTRVA 6、获取INT的地址和序号 7、循环打印INT的内容 8、获取IATRVA 9、获取IAT的地址和序号 10、循环打印IAT的内容 二、演示 1、File-> FileBuffer 2、定位导入 PIMAGE_DOS_HEADER pDosHeader = NULL;//DOS头 P
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值