PE文件(十五)绑定导入表

原创 已于 2025-10-13 15:12:48 修改 · 971 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开发语言 #PE文件

于 2025-04-14 18:18:10 首次发布

我们在分析Windows自带的一些程序时,常常发现有的程序,如notepad,他的IAT表在文件加载内存前已经完成绑定,存储了函数的地址。这样做可以使得程序是无需修改IAT表而直接启动,这时程序启动速度变快。但这种方式只适用于dll按照预先设定ImageBase装载而不重分配的情况

当dll没有按照预先设定的ImageBase进行装载,IAT表在文件加载内存前进行绑定就会出现问题了

为了判断一个程序的IAT是否在加载内存前就已经进行了绑定,PE的导入表中提供了TimeDateStamp时间戳成员变量:当该值为0时,表示该导入表对应的IAT表在加载内存前尚未绑定。当该值为-1时,表示该导入表对应的IAT表加载内存前已经绑定。而真正绑定的时间存储在绑定导入表中

绑定导入表

绑定导入表:用于存储已经绑定(即完成绑定导入)的外部函数的信息,一个绑定导入表对应一个dll。绑定导入表通常存在于Windows操作系统自带的程序中,但在win10以后操作系统中,其自带的程序已经很少有绑定导入表了,逐渐被弃用

定位

通过数据目录的第12个结构我们便可以定位到绑定导入表地址:

201545

结构

绑定导入表的结构如下:

struct _IMAGE_BOUND_IMPORT_DESCRIPTOR{						
    DWORD TimeDateStamp; 			
    WORD OffsetModuleName;	
    WORD NumberOfModuleForwarderRefs;  		
};

DWORD TimeDateStamp:时间戳,表示IAT表完成绑定的真正时间

操作系统通过对比该值与对应DLL的可选PE头中的TimeDateStamp,判断DLL在绑定后是否被修改:

若两者一致:说明DLL自绑定后未被更新或修改,IAT表中记录的函数地址有效。

若两者不一致:说明 DLL 在绑定后被修改过,此时绑定到IAT表中的函数地址可能被修改,导致绑定的函数地址失效

WORD OffsetModuleName:该值加上第一个绑定导入表的RVA可得到当前绑定导入表所对应 DLL 的名称的RVA

WORD NumberOfModuleForwarderRefs:表示当前DLL所依赖的其他DLL的数量。每个依赖的DLL对应一个_IMAGE_BOUND_FORWARDER_REF结构,这些结构紧随当前_IMAGE_BOUND_IMPORT_DESCRIPTOR之后。

_IMAGE_BOUND_FORWARDER_REF结构如下:

struct _IMAGE_BOUND_FORWARDER_REF {			
    DWORD TimeDateStamp;  //时间戳		
    WORD OffsetModuleName;  //对应DLL的名字
    WORD Reserved;  //保留(未使用)	
};

TimeDataStamp:和绑定导入表结构中的TimeDateStamp含义和用途是一样的

OffsetModuleName:和绑定导入表结构中的OffsetModuleName含义和用途是一样的

Reserved:保留字段(未使用),没有任何含义

绑定导入表的文件分布如下:

当有sizeof(_IMAGE_BOUND_IMPORT_DESCRIPTOR)个0,表示绑定导入表结束    

PE文件绑定导入
weixin_43742894的博客
04-01 511
绑定导入是为了加快程序的加载程序,因为正常PE加载的时候,要去检查导入并将相关的DLL映射到进程空间地址,并将导入的FirstThunk指向的数组填入函数的真实地址,这一步需要花费很多时间,绑定导入就是为了解决此环节的问题,**绑定导入中保存了导入函数的真实地址,PE加载的时候系统会检测是否有绑定导入,就会直接将函数地址写入FirstThunk。**
解析绑定导入
hambaga的博客
05-22 937
一、绑定导入的作用 有些windows程序,如notepad,为了提高加载速度,会直接把DLL中的函数地址写入到IAT,省去了加载时的计算。但是这样会有两个问题,第一,当DLL没有占住ImageBase时,IAT中的地址就是错的;第二,当链接的DLL被修改了,那IAT里写的地址也是错的。遇到这两种情形之一,加载时就必须修复IAT了。 对于第二种情形,DLL是否被修改,是根据比较DLL的时间戳和绑定导入中的记录的DLL时间戳来判断的,如果不一致,说明DLL被修改了。 加载程序时,操作系统根据导入中的时
PE结构之绑定导入
最新发布
weixin_43751677的博客
10-12 345
IAT 中的 IMAGE_THUNK_DATA 结构将被导入函数的实际地址覆盖。加载绑定的可执行文件时,Windows 加载程序可以绕过查找每个导入的 API 并将其写入 IAT 的步骤。IAT 中的数据,在文件中可能已经不和INT一样了,已经保存了需要导入的函数的VA(内存地址或者说绝对地址). 如果IMAGE_IMPORT_DESCRIPTOR结构(导入的结构)中的。TimeDateStamp==0 ,示 没有绑定 ,如果为-1,说明已经绑定,这时 IAT的数据已经是导入函数的VA了。
PE知识复习之PE绑定导入
weixin_30352645的博客
10-05 227
                    PE知识复习之PE绑定导入 一丶简介   根据前几讲,我们已经熟悉了导入结构.但是如果大家尝试过打印导入的结构. INT IAT的时候. 会出现问题. PE在加载前 INT IAT都指向一个名称. 这样说是没错的. 但是如果你打印过导入.会发现一个问题. 有的EXE程序.在打印IAT的时候.发现里面是地址. 原因:   我们的PE程...
13.PE文件绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 4324
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
PE文件解析-加载配置绑定导入导入地址与延迟导入
zhyulo的博客
01-06 1857
一、加载配置 1.位置与简介     载入配置早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。     后来以XP及以后的系统主要是为了存储SEH句柄,称为安全结构化异常处理程序列,如果SEH异常处理没有经过注册,在载入配置中没有句柄,这个异常处理就不会被执行。     据微软官方说明,这个载入配置的作用是为了防止“x86异常处理程序劫持”的漏洞。因为...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
PE结构之导入
weixin_43751677的博客
10-11 691
如果某个导入的时间戳==-1 ,请查看。
PE文件绑定导入
fa1c4的blog
03-08 350
BOUND IMPORT TABLE 绑定导入是一种提高DLL加载速度的技术. 对于PE文件而言是可选项, 不是必须. 当修改PE文件时, 如果添加导入的DLL文件, 需要注意有没有绑定导入, 如果有需要删除或修改绑定导入, 否则会运行时出错. PEview查看绑定导入 Winhex查看相应位置 ...
PE结构(四) 绑定导入
weixin_37673331的博客
02-29 684
1.关于绑定导入 一般情况下,在程序加载前IAT和INT中的内容相同,都是程序引用的dll中的函数的函数名或序号; 加载完成后IAT中将替换为函数的真正地址; 但在加载前IAT中直接写绝对地址是可以实现的; 加载前在IAT中保存绝对地址的优点:启动程序快; 在启动程序时需要:申请4gb内存空间、贴exe、贴dll、将IAT修复为地址等等; 如果直接用绝对地址,则省去了修复IAT的操作...
绑定导入
lygl35的博客
02-28 144
关于绑定导入
abns44296的博客
03-24 869
0x01 绑定导入概念 绑定导入(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入并将相关DLL映射到进程空间地址。然后通过遍历IA...
PE文件学习笔记(五):导入、IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析:导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
导入绑定导入
weixin_43990313的博客
07-29 457
导入 概述 导入是用来存储应用程序需要的利用的模块以及模块内的函数的结构。记录了模块的信息和函数的信息。 结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向IMAGE_THUNK_DATA结构 }; DWOR
PE文件格式学习(十四):绑定导入(BoundImportDirectory)
tutucoo
11-08 1026
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导入的DLL...
PE结构&绑定导入实现
寻梦&之璐
02-04 7937
简介 作用 绑定导入是一种提高PE加载速度的技术。它只能起辅助性作用,它的存在与否只影响加载过程,并不影响PE的最终加载结果和运行结果。 为什么说是辅助性呢? 因为不同的操作系统中,动态链接库的基地址是不一样的。举个例子,kernel32.dll,在Windows 2000中其加载到进程空间的基地址为0x77e60000,而在Windows XP SP3中其加载地址则是0x7c800000。同一动态链接库加载后处于不同的基地址,直接导致了同一个导入函数在不同操作系统中其导入地址VA是不一样的。 因此经过绑定
PE文件格式学习(十四):绑定导入
11-08 258
1.介绍 绑定导入的作用是加快程序的启动速度,一个PE程序在启动时会去加载导入中的dll文件,并将导入的FirstThunk指向的数组填入函数的真实地址,这需要耗去时间,绑定导入中保存了导入函数的真实地址,所以当PE在启动时系统检测到有绑定导入,就会直接将地址填入FirstThunk里,这样就省去了寻找真实地址的时间。 但是绑定导入的生效,有两个前提条件: 程序初始化时,导...
PE文件导入信息解读与分析
当编译这段代码时,编译器会生成导入信息,链接器会处理PE文件导入部分,最终生成包含导入的可执行文件。当这个PE文件运行时,操作系统会解析MessageBoxW函数的实际内存地址,并将这个地址填充到导入地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值