PE结构&导入表

最新推荐文章于 2023-09-05 11:03:08 发布
原创 最新推荐文章于 2023-09-05 11:03:08 发布 · 4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了PE文件格式中的导入表结构,包括其组成部分、工作原理及在内存中的表现形式。介绍了导入表如何帮助程序调用外部DLL文件中的函数,并解析了不同类型的链接方式及其优缺点。

PE体系

PE结构&整体叙述

PE结构&导入表

PE结构&导出表

PE结构&基址重定位表

PE结构&绑定导入实现

PE结构&延迟加载导入表

导入表简介

当我们源文件里面需要去如何画窗口,如何显示指定字符串这样功能的代码,只需要简单调用Windows API函数。这些调用的函数在源文件中并不存在。这些代码存储在DLL文件中,即动态链接库中。在动态链接库里存放的不是函数的源代码,而是编译链接后生成的字节码。
源程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接程序就会把调用的相关信息写入最终生成的PE文件中,从而来告诉操作系统这些函数的执行字节码能从哪里获取,这些信息就是导入表所要描述的内容

DLL加载方式有两种:显式链接(Explicit Linking) 和 隐式链接(Implicit Linking)

  1. 显示链接:程序在使用DLL时进行加载,使用完毕后释放内存
  2. 隐式链接:程序在开始时即一同加载DLL,程序终止时再释放占用的内存

IAT提供的机制与DLL的隐式链接有关。

优点:

  1. 不把函数库包含进应用程序中,单独组成DLL文件,在需要使用时再进行调用。
  2. 使用内存映射技术将加载后的DLL代码、资源在多个进程中实现共享。
  3. 在对函数库进行更新时,只更新DLL文件即可。

导入函数

当我们调用一个API时,这个API我们不可能自己手写,基础源码这些东西都不知道,所以直接导入头文件然后使用即可。

#include<iostream>
#include<Windows.h>
using namespace std;
int main() {
   
   
	LPCSTR text = "hello world";
	LPCSTR title = "第一个MessageBoxA";
	MessageBoxA(NULL, text, title, MB_OK);

}

关于API调用的汇编代码如下:

.text:00401516 mov     [ebp+text], offset aHelloWorld ; "hello world"
.text:0040151D mov     [ebp+title], offset unk_48800C
.text:00401524 mov     dword ptr [esp+0Ch]<
最低0.47元/天 解锁文章
PE结构导入中的双桥结构
weixin_43742894的博客
05-15 1371
导入的知识曾经整理过,网址如下;现再对其中的双桥结构进行整理。 《PE文件:导入》:https://blog.youkuaiyun.com/weixin_43742894/article/details/105155489 导入结构: struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //指向INT 桥1 } D
PE结构导入
weixin_43751677的博客
10-11 691
如果某个导入的时间戳==-1 ,请查看。
PE结构-导入
小喇叭儿滴滴的吹
02-13 556
首先就是确定如何定位导入的位置,导入是位于数据目录项的第二项 前四个字节为相对虚拟地址(RVA),后四个字节为大小(这里做个参考,不依赖) 好了,既然是RVA,那么说的就是内存中情况,那么如何在文件中定位到导入位置呢,这里我们则需要做的就是将RVA转换为FA,这里的话就大致来说明一下,不清楚的可以参考下其他博客 先来看一下节区的分布情况,有2个节,分别在0x1000处和0x2000...
PE文件结构详解(四)PE导入
Azure_Sky_2014
02-02 798
转自:http://blog.youkuaiyun.com/evileagle/article/details/12357155 PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIR
PE结构导入 IAT的注入载入DLL
最新发布
10-14
IAT不在 可写字段.我简单的复制了 导入所在字段的属性.导致无法运行
PE文件——导入&导出&函数覆盖
Woolemon的博客
04-06 7587
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
PE文件结构 - 导入结构
逐天实验室 ( SCLB )
09-14 1176
PE文件导入结构,CALL调用原理
PE-导入
megaparsec
12-19 2361
导入 在数据目录中一共有四种类型的数据与导入数据有关。这四种数据依次为: 1.导入 2.导入函数地址 3.绑定导入 4.延迟加载导入 2.1 导入 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数。
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 6500
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件导入解析(C++)
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
《初识PE导入
weixin_33767813的博客
11-21 385
最近听别人讲的我晕晕乎乎的,于是上网上百度下,感觉这篇还不错。 链接:http://www.blogfshare.com/pe-export.html 一、导入简介 在编程中常常用到“导入函数”(Import functions),导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些函数信息,包括函数名及其驻留的DLL...
PE文件结构-导入详解
wxf明的博客
12-30 1792
PE文件运行时,PE文件将被系统加载进入内存中,此时Windows加载器会定位所有的导入的函数或者将定位到的内容填写到可执行文件的某个位置供使用,这个定位是需要借助于可执行文件的导入来实现的。导入中存放了所使用的DLL模块名称及导入函数的名称或者函数序列。 在PE文件中定位到PE头部的可选头的位置,可选头IMAGE_OPTIONAL_HEADER中最后一个成员: IMAGE_DATA_DI...
从记事本了解PE结构导入
龙图腾的博客
12-02 1257
导入是杀毒软件厂商非常关注的部位尤其是启发式扫描。所以,了解导入结构对免杀技术是必不可少的。   下文我们从大家最常用的notepad.exe的分析来揭开导入的神秘面纱。   首先用LoadPE工具加载notepad.exe。查看其区段和目录信息。     第一步:计算转换因子 从目录的输入的RVA(相对虚拟地址)查找在区段中的位置。这里的RVA是0x76
PE文件 - 导入
weixin_45012273的博客
11-11 1465
导入 在数据目录的第2项,下标为1的位置,记录了可执行文件导入了哪些动态库和函数,INT(导入函数名称)和IAT(导入函数地址),由于一个可执行文件可能要多个PE文件支持,所以此结构可能有多个,导入就是一个结构体数组,以一个全零元素为结尾,每一个数组的元素,代一个PE文件的导入信息 导入格式 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
PE结构】5.导入
SMOne
06-25 2114
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
Windows PE 第四章 导入
天使也掉毛
10-07 4095
Windows PE 第四章 导入
2.5 PE结构导入详细解析
热门推荐
LYSHARK
09-05 2万+
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE文件导入详解
只为改变自己
05-03 1292
PE导入详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值