PE结构之导入表

已于 2024-10-14 22:12:55 修改
阅读量567 收藏 1
点赞数 4
CC 4.0 BY-SA版权
分类专栏: PE格式学习 文章标签: windows PE c++
于 2024-10-11 23:59:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43751677/article/details/142865419

 流程图:

文件中\样式

加载到进程中时
 
加载到进程中时的过程,一张图不够放
 

续图
 

整个流程
 

 补充导入表结构IMAGE_IMPORT_DESCRIPTOR 中的ForwarderChain字段, 该解释为
"某个导入模块涉及转发(即该模块的某些函数从其他模块转发过来),那么 ForwarderChain 字段会包含一个索引,指向这个导入描述符中与第一个转发函数相关的表条目  ,通常情况下,ForwarderChain 被设为 -1(或 0xFFFFFFFF),表示该导入描述符中没有转发函数"
关于函数转发,请查看PE结构之导出表-CSDN博客 中的内容>

这篇中介绍到kernel32.dll中包含了转发函数但是我们可以查看记事本的 exe .

 可以看到 这个成员 依然是用-1 来表达的.即使他有转发函数的情况下

 64位程序注意事项

考虑到 PE32+ 可执行文件(64 位),每个 ILT (导入名称表) 条目总结为:

  • 如果设置了高位(位 63,也称为“序号标志”),则底部 63 位(0 到 62)被视为序号函数号。
  • 如果未设置高位 (即序号标志为 false) ,则整个条目是 Hint/Name 表的 RVA。

导入表的遍历

//打印导入表
BOOL PrintImport(__in char* m_fileName)
{
	char* Filebuffer = NULL;
	if (!GetFileBuffer(m_fileName, &Filebuffer)) return FALSE;

	PIMAGE_DOS_HEADER LPdosHeader = NULL;
	PIMAGE_NT_HEADERS LPntHeader = NULL;

	LPdosHeader = (PIMAGE_DOS_HEADER)Filebuffer;
	LPntHeader = (PIMAGE_NT_HEADERS)((CHAR*)LPdosHeader + LPdosHeader->e_lfanew);

	//如果是32位程序
	if (LPntHeader->OptionalHeader.Magic == 0x10b)
	{
		PIMAGE_NT_HEADERS32 LPntHeader32 = LPntHeader;
		LPntHeader = NULL;
		DWORD Characteristics = 0;
		//定位到导入表
		PIMAGE_IMPORT_DESCRIPTOR LPimport = (PIMAGE_IMPORT_DESCRIPTOR)((CHAR*)LPdosHeader+ RVAToFOAEX(LPdosHeader, LPntHeader32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress, &Characteristics));
		

		PIMAGE_IMPORT_DESCRIPTOR LPcurrentImport = LPimport;
		int i = 0;
		
		while (LPcurrentImport->OriginalFirstThunk!=0 && LPcurrentImport->FirstThunk!=0)
		{
			printf("[%d]IMAGE_IMPORT_DESCRIPTOR结构\n",i++);
			
			printf("OriginalFirstThunk:0X%X\nTimeDateStamp:0X%X\nName:%s\nFirstThunk:0X%X\n",LPcurrentImport->OriginalFirstThunk,LPcurrentImport->TimeDateStamp,
				((CHAR*)LPdosHeader+RVAToFOA(LPdosHeader,LPcurrentImport->Name)),LPcurrentImport->FirstThunk);
			
			//导入查找表或者叫导入名称表
			PIMAGE_THUNK_DATA32 INTtable = (PIMAGE_THUNK_DATA32)((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, LPcurrentImport->OriginalFirstThunk));
			int j = 0;

			while (INTtable->u1.AddressOfData != 0)
			{
				
				if ((INTtable->u1.AddressOfData & 0x80000000)==0)
				{
					PIMAGE_IMPORT_BY_NAME hintName=(PIMAGE_IMPORT_BY_NAME) ((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, INTtable->u1.AddressOfData));
					
					printf("\t[%d] 按名称导入  hint:[0x%x] Name:%s\n",j, hintName->Hint, hintName->Name);
				}
				else
				{
					printf("\t[j] 按序号导入 0x%x\n", INTtable->u1.AddressOfData & (~0x80000000));
				}
				INTtable++;
				j++;
			}

			//导入地址表
			PIMAGE_THUNK_DATA32 IATtable = (PIMAGE_THUNK_DATA32)((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, LPcurrentImport->FirstThunk));
			int k = 0;
			while (IATtable->u1.AddressOfData != 0)
			{
				if (LPcurrentImport->TimeDateStamp == 0)
				{
					if ((INTtable->u1.AddressOfData & 0x80000000 )== 0)
					{
						PIMAGE_IMPORT_BY_NAME hintName = (PIMAGE_IMPORT_BY_NAME)((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, INTtable->u1.AddressOfData));
						printf("\t[%d] 按名称导入  hint:[0x%x] Name:%s\n", k, hintName->Hint, hintName->Name);
					}
					else
					{
						printf("\t[k] 按序号导入 0x%x\n", INTtable->u1.AddressOfData & (~0x80000000));
					}
				}

				else
				{
					printf("\t函数绝对地址 0x%x\n", IATtable->u1.Function);
				}
				IATtable++; 
					k++;
			}
			LPcurrentImport++;
		}
	

	}
	else
	{
		//64位程序
		PIMAGE_NT_HEADERS64 LPntHeader64 = LPntHeader;
		LPntHeader = NULL;
	
		DWORD Characteristics = 0;
		//定位到导入表
		PIMAGE_IMPORT_DESCRIPTOR LPimport = (PIMAGE_IMPORT_DESCRIPTOR)((CHAR*)LPdosHeader + RVAToFOAEX(LPdosHeader, LPntHeader64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress, &Characteristics));


		PIMAGE_IMPORT_DESCRIPTOR LPcurrentImport = LPimport;
		int i = 0;

		while (LPcurrentImport->OriginalFirstThunk != 0 && LPcurrentImport->FirstThunk != 0)
		{
			printf("[%d]IMAGE_IMPORT_DESCRIPTOR结构\n", i++);

			printf("OriginalFirstThunk:0X%X\nTimeDateStamp:0X%X\nName:%s\nFirstThunk:0X%X\n", LPcurrentImport->OriginalFirstThunk, LPcurrentImport->TimeDateStamp,
				((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, LPcurrentImport->Name)), LPcurrentImport->FirstThunk);

			//导入查找表或者叫导入名称表
			PIMAGE_THUNK_DATA64 INTtable64 = (PIMAGE_THUNK_DATA32)((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, LPcurrentImport->OriginalFirstThunk));
			int j = 0;

			while (INTtable64->u1.AddressOfData != 0)
			{

				if ((INTtable64->u1.AddressOfData & 0x8000000000000000) == 0)
				{
					PIMAGE_IMPORT_BY_NAME hintName = (PIMAGE_IMPORT_BY_NAME)((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, INTtable64->u1.AddressOfData));

					printf("\t[%d] 按名称导入  hint:[0x%x] Name:%s\n", j, hintName->Hint, hintName->Name);
				}
				else
				{
					printf("\t[j] 按序号导入 0x%llx\n", INTtable64->u1.AddressOfData & (~0x8000000000000000));
				}
				INTtable64++;
				j++;
			}

			//导入地址表
			PIMAGE_THUNK_DATA64 IATtable64 = (PIMAGE_THUNK_DATA32)((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, LPcurrentImport->FirstThunk));
			int k = 0;
			while (IATtable64->u1.AddressOfData != 0)
			{
				if (LPcurrentImport->TimeDateStamp == 0)
				{
					if ((IATtable64->u1.AddressOfData & 0x8000000000000000) == 0)
					{
						PIMAGE_IMPORT_BY_NAME hintName = (PIMAGE_IMPORT_BY_NAME)((CHAR*)LPdosHeader + RVAToFOA(LPdosHeader, IATtable64->u1.AddressOfData));
						printf("\t[%d] 按名称导入  hint:[0x%x] Name:%s\n", k, hintName->Hint, hintName->Name);
					}
					else
					{
						printf("\t[k] 按序号导入 0x%llx\n", IATtable64->u1.AddressOfData & (~0x8000000000000000));
					}
				}

				else
				{
					printf("\t函数绝对地址 0x%llx\n", IATtable64->u1.Function);
				}
				IATtable64++;
				k++;
			}
			LPcurrentImport++;
		}

	}
}

 如果某个导入表的时间戳==-1 ,请查看PE结构之绑定导入表-CSDN博客

导入表注入 (包括创建新的节区,移除Dostub 添加新的节表)

原理:在需要注册的程序中的导入表后添加 需要注入的dll的信息

将导入表移动带新节区
新的节区 属性请务必 给与可读可写的属性.否则你将 遭遇到
Exception Processing Message 0xC0000005 - Unexpected parameters
因为 系统在加载该dll时,将修改IAT表中的内容为函数的rva .如果不给可写属性,那么将遭遇如下的问题. 

 
我在 填写节属性时,复制了导入表的属性,导致无法运行程序

//导入表 HOOK  包含移动导入表 ,修改目录项的RVA ,添加新的导入表
BOOL IATHook(__in char* m_fileName, __in char* m_DllName , __in char* m_savePath)
{
	
	char* Filebuffer = NULL;
	if (!GetFileBuffer(m_fileName, &Filebuffer)) return FALSE;

	PIMAGE_DOS_HEADER LPdosHeader = NULL;
	PIMAGE_NT_HEADERS LPntHeader = NULL;

	LPdosHeader = (PIMAGE_DOS_HEADER)Filebuffer;
	LPntHeader = (PIMAGE_NT_HEADERS)((CHAR*)LPdosHeader + LPdosHeader->e_lfanew);
	//如果是32位程序
	if (LPntHeader->OptionalHeader.Magic == 0x10b)
	{

		PIMAGE_NT_HEADERS32 LPntHeader32 = LPntHeader;
		LPntHeader = NULL;
		//定位到导入表
		DWORD Characteristics = 0;//原来的节表的属性 
		/*	DWORD Characteristics = 0xC0000000; //请给可读可写节区属性,否则你会后悔*/
		PIMAGE_IMPORT_DESCRIPTOR LPoriginalFirstImport = (PIMAGE_IMPORT_DESCRIPTOR)((CHAR*)LPdosHeader + RVAToFOAEX(LPdosHeader, LPntHeader32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress, &Characteristics));

		PIMAGE_IMPORT_DESCRIPTOR LPoriginalCurrentImport = LPoriginalFirstImport;

		//计算原来的所有导入表的大小
		DWORD sizeofOrinigal = 0;
		while (LPoriginalCurrentImport->OriginalFirstThunk != 0 && LPoriginalCurrentImport->FirstThunk != 0)
		{
			sizeofOrinigal += sizeof(IMAGE_IMPORT_DESCRIPTOR);
			LPoriginalCurrentImport++;
		}
		//计算新添加的大小
		DWORD sizeofNew = 0;

		sizeofNew += sizeof(IMAGE_IMPORT_DESCRIPTOR)*2;//新增一个导入表结构,和空白区,
		sizeofNew += sizeof(IMAGE_THUNK_DATA32) * 2;//新增一个INT表和全0结束大小
		sizeofNew += sizeof(IMAGE_THUNK_DATA32) * 2;//新增一个IAT表和全0结束大小
		sizeofNew += sizeof(IMAGE_IMPORT_BY_NAME);//添加一个Hint/Name 表
		sizeofNew += strlen(m_DllName);//再加上一个字符串的小

		NewSecInfo info = { 0 };
		info.Characteristics = Characteristics;
		info.sizeofNewData = sizeofOrinigal + sizeofNew;//要往节中添加多少数据
		if (!AddSection(Filebuffer, &info))
		{
			free(Filebuffer);
			return FALSE;
		}
		//
		PULONG_PTR pCurrentPoint = NULL;//用于记录当前指针的位置
		DWORD currentRVA = 0;
		currentRVA = info.NewSectionVirtualAddress;
		pCurrentPoint = info.NewSectionBegionPointer;
		memcpy(pCurrentPoint, LPoriginalFirstImport, sizeofOrinigal);//将原来的节表赋值到新的节区
		//修改目录项中的导入表的RVA
		PIMAGE_NT_HEADERS32 LPnewNtHeader32 = (PIMAGE_NT_HEADERS32)(((PIMAGE_DOS_HEADER)info.newFileBuffer)->e_lfanew + (CHAR*)info.newFileBuffer);
		LPnewNtHeader32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress = currentRVA;

		//移动指针和RVA到原来的导入表结束位置
		pCurrentPoint = (char*)pCurrentPoint + sizeofOrinigal ;//移动指
		currentRVA += sizeofOrinigal;//移动RVA

		//记录要加的导入表指针
		PIMAGE_IMPORT_DESCRIPTOR pnewIDTpoint = (PIMAGE_IMPORT_DESCRIPTOR)pCurrentPoint;

		////再次移动指针和RVA 留出要添加 导入表和空白位置
		pCurrentPoint = (char*)pCurrentPoint + sizeof(IMAGE_IMPORT_DESCRIPTOR)*2;
		currentRVA += sizeof(IMAGE_IMPORT_DESCRIPTOR) * 2;

		//添加Hint/Name 表
		((PIMAGE_IMPORT_BY_NAME)pCurrentPoint)->Hint = 0;
		memcpy(((PIMAGE_IMPORT_BY_NAME)pCurrentPoint)->Name, "add", strlen("add")+1);
		DWORD HintNameRVA = currentRVA;
		
		//移动指针和RVA
		pCurrentPoint = (char*)pCurrentPoint + strlen("add") + 1 + sizeof(WORD);
		currentRVA += strlen("add") + 1 + sizeof(WORD);

		//添加INT表
		((PIMAGE_THUNK_DATA32)pCurrentPoint)->u1.Ordinal = HintNameRVA;//RVA不可能超越 0x80000000这个值(表示按序号导入),用户空间的代码在32位时最高地址为7FFF FFFF 
		DWORD INTRVA = currentRVA;
		//移动指针和RVA
		pCurrentPoint = (char*)pCurrentPoint + sizeof(IMAGE_THUNK_DATA32) * 2;//留空白结尾
		currentRVA+= sizeof(IMAGE_THUNK_DATA32) * 2;

		//添加IAT表
		((PIMAGE_THUNK_DATA32)pCurrentPoint)->u1.Ordinal = HintNameRVA;//RVA不可能超越 0x80000000这个值(表示按序号导入),用户空间的代码在32位时最高地址为7FFF FFFF 
		DWORD IATRVA = currentRVA;
		//移动指针和RVA
		pCurrentPoint = (char*)pCurrentPoint + sizeof(IMAGE_THUNK_DATA32) * 2;//留空白结尾
		currentRVA += sizeof(IMAGE_THUNK_DATA32) * 2;

		//添加DLL的名字
		memcpy(pCurrentPoint, m_DllName, strlen(m_DllName) + 1);
		DWORD dllNameRVA = currentRVA;
		

		pnewIDTpoint->OriginalFirstThunk = INTRVA;
		pnewIDTpoint->FirstThunk = IATRVA;
		pnewIDTpoint->Name = dllNameRVA;
		pnewIDTpoint->TimeDateStamp = 0;
		pnewIDTpoint->ForwarderChain = -1;//只有dll中有转发,加链接的过程中,连接器怎么知道这个dll有转发函数,并将导入表的这个位置写入值呢

		StoringFile(m_savePath, info.newFileBuffer, info.NewFileBufferSize);
	}
	else
	{

	}

}

PE结构导入中的双桥结构
weixin_43742894的博客
05-15 1330
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件:导入》:https://blog.csdn.net/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
PE-导入
megaparsec
12-19 2286
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
PE文件结构 - 导入结构
逐天实验室 ( SCLB )
09-14 1155
PE文件导入结构,CALL调用原理
PE文件 - 导入
weixin_45012273的博客
11-11 1418
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件的导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE结构导入 IAT的注入载入DLL
10-14
IAT不在 可写字段.我简单的复制了 导入所在字段的属性.导致无法运行
pe结构分析之手工修复导入
ChuMeng1999的博客
10-25 1624
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验要求实验者具备如下的相关知识。 1.加密外壳中,破坏原程序的输入是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入概念非常清楚。常见输入结构是为了示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来示。 INT:全称import name table输入名称。简单来说,INT存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。 IAT:全称i
PE文件结构-导入分析.pdf.md
10-12
本文将详细分析PE文件的导入结构,以帮助理解其工作原理和在程序执行中的作用。 导入的主要组成部分包括导入描述符、导入名称导入地址导入描述符(ImportDescriptor)为每一个被导入的DLL提供了描述...
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 6309
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件导入解析(C++
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
PE文件之导入
03-29
打印PE文件的导入信息 vs2005编译通过;
《初识PE导入
weixin_33767813的博客
11-21 348
最近听别人讲的我晕晕乎乎的,于是上网上百度下,感觉这篇还不错。 链接:http://www.blogfshare.com/pe-export.html 一、导入简介 在编程中常常用到“导入函数”(Import functions),导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些函数信息,包括函数名及其驻留的DLL...
PE结构】5.导入
SMOne
06-25 2065
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
PE文件结构导入
最新发布
weixin_43754657的博客
05-07 401
什么是导入导入就是pe文件需要依赖哪些模块以及依赖这些模块中的哪些函数回想我们导出的内容,导出的位置和大小是保存在扩展pe头最后一个结构体数组当中的第一个成员是我们的导出,第二成员就是我们的导入了通过分析pe文件,得出导入的位置在0x20400(RVA)我们来看一下导入结构
PE文件:(3)导入
weixin_43972499的博客
04-07 518
导入导入的概念导入结构手动加载导入参考代码 导入的概念   可执行文件在进行加载时,需要导入一些动态库,即Dll文件。通过导入这些动态库,我们可以使用文件中提供的函数和功能,来为我们的可执行文件服务。这些Dll中的函数就称为导入函数。为了记录需要的动态库和导入函数,可执行文件在可选头的数据目录中维护了一张,这张记录了文件需要的所有动态库以及导入函数的信息,方便Windows加载器在加载PE文件时使用。这张就是所谓的导入,它被存储在数据目录的第二项。   可执行文件在使用动态库中的函数和代
PE文件结构导入
WolvenSec的博客
01-15 1008
①。
PE文件(十)导入
2301_78838647的博客
07-25 1386
此时就可以修改IAT了。当一个PE文件(如.dll/.exe等)需要使用别的模块的函数,也叫做依赖某模块,就需要一个清单来记录使用的模块(一般为.dll文件,为方便理解,以后我们将模块都认为是.dll文件)及使用的函数的相关信息(如使用了哪些DLL、使用了这个DLL里的哪些函数、叫什么名、去哪找等),这个清单就叫做导入。元素现形式不同的原因:一个.DLL中的函数可以以函数名称导出,也可以以序号(NONAME)导出,所以当一个PE文件使用别的.DLL中的函数时要考虑这个函数的名字和序号两种情况。
PE文件导入详解
只为改变自己
05-03 1255
PE导入详解
探索Win32 PE结构:导出导入解析
### Win32应用程序导出导入知识点详细说明 ...以上是对Win32应用程序导出导入的详细知识点说明,涵盖了PE结构基础、导出导入的作用和结构,以及一个实际演示程序文件列的分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值