PE文件格式学习(十六):延迟加载表

最新推荐文章于 2024-10-08 08:31:17 发布
最新推荐文章于 2024-10-08 08:31:17 发布
阅读量136 收藏
点赞数
原文链接:http://www.cnblogs.com/tutucoo/p/9927725.html
版权

1.介绍

延迟加载表本质上跟绑定导入表的目的是一样的,都是为了加快程序加载文件的速度,只不过方法不一样。
延迟加载是指在调用某个DLL时才去加载,目的是为了避免在程序启动之初就加载了不必要的DLL而浪费了时间。微软建议在两种情况下使用延迟加载:

  1. 程序并非在启动时就会调用DLL里面的函数
  2. 程序未必会调用该DLL里面的函数 

延迟加载表不是系统支持的一个特性,它是由编译器控制的。

2.分析

我们还是使用之前使用过的程序:Win7下的mspaint.exe。这个程序的延迟加载表的RVA是85ccch,转换成offset是850cch:

1240

它的结构体是:

typedef struct ImgDelayDescr {  
    DWORD        grAttrs;       
    RVA          rvaDLLName;     
    RVA          rvaHmod;       
    RVA          rvaIAT;       
    RVA          rvaINT;      
    RVA          rvaBoundIAT;  
    RVA          rvaUnloadIAT; 
    DWORD        dwTimeStamp;   
    } ImgDelayDescr, * PImgDelayDescr;

grAttrs:延迟导入结构的属性,0x1为新版本,0x0为老版本,对应上图中的0x00000001

rvaDLLName:dll名字的RVA,对应上图的0x85d40,转为offset是0x85140,下图是对应的dll名

1240

rvaHmod:dll句柄的RVA,对应上图的0x8bd78

rvaIAT:IAT表的RVA,对应上图的0x8a000

rvaINT:INT表的RVA,对应上图的0x85d4c

rvaBoundIAT:绑定导入表的RVA,对应上图的0

rvaUnloadIAT:原始IAT的可选拷贝的RVA,对应上图的0

dwTimeStamp:延迟载入DLL的时间戳,通常为0

转载于:https://www.cnblogs.com/tutucoo/p/9927725.html

adoqa66822
关注
Windows PE 第八章 延迟加载导入
天使也掉毛
02-09 1427
延迟加载导入     延迟加载导入PE中引入的专门用来描述与动态链接库延迟加载相关的数据,因为这些数据所引起的作用和结构与导入数据基本一致,所以称为延迟加载导入。     延迟加载导入和导入是相互分离的。一个PE文件中可以同时存在这两种数据,也可以单独存在一种。延迟加载导入是一种特殊类型的导入。同导入一样,它记录了应用程序想要导入的部分或全部动态链接库及相关函数信息。与导入
PE文件:延迟导入
weixin_43742894的博客
04-01 566
延迟导入从它的名字上,我们可以知道他是一种加载比较延迟的导入,不是在一开始就被加载的,而是等到要被使用的时候,才会被延迟加载(动态加载相关链接库并修正函数的虚拟地址,实现对函数的调用)
PE文件格式学习十六):延迟加载(DelayLoadImportDescriptors)
tutucoo
11-08 438
1.介绍 延迟加载本质上跟绑定导入的目的是一样的,都是为了加快程序加载文件的速度,只不过方法不一样。 延迟加载是指在调用某个DLL时才去加载,目的是为了避免在程序启动之初就加载了不必要的DLL而浪费了时间。微软建议在两种情况下使用延迟加载: 程序并非在启动时就会调用DLL里面的函数 程序未必会调用该DLL里面的函数 延迟加载不是系统支持的一个特性,它是由编译器控制的。 2.分析 我们还是...
PE文件结构详解(五)延迟导入
Azure_Sky_2014
02-02 914
转自:http://blog.youkuaiyun.com/evileagle/article/details/12718845 PE文件结构详解(四)PE导入讲了一般的PE导入,这次我们来看一下另外一种导入:延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使用的频率比较低,或者在某些特定的场合才会用到,而有
PE结构&延迟加载导入
寻梦&之璐
02-04 4312
简介 延迟加载导入PE中引入的专门用来描述与动态链接库延迟加载相关的数据,因为这些数据所起的作用和导入数据基本一致,所以称为延迟加载导入延迟加载导入和导入是相互分离的,一个PE文件中可以同时存在这两种数据,也可以单独存在一种。延迟加载导入是一种特殊类型的导入,同导入一样,它记录了应用程序要导入的部分或全部动态链接库及相关的函数信息。与导入不同的是,它所记录的这些动态链接库并不会被操作系统的PE加载加载,只有等到由其登记的相关函数被应用程序调用时,PE中注册的延迟加载函数才会根据延迟
Mybatis学习(12)多延迟加载
冯冬冬的博客
01-21 247
前言 什么是延迟加载?比较官方的意思是:在进行关联查询的时候,按照设置延迟规则推迟对关联对象的select查询。举一个例子。比如说我要查询一个订单的数据,但是我在查询订单的时候可能也会查这个订单的用户,但是如果我要用到这个订单用户信息的时候再去加载,此时也就是用户信息推迟一段时间加载。就用到了延迟加载技术。 那么延迟加载有什么好处呢?他可以有效地减少数据库的压力。 一、延迟加载的时机 My...
PE文件解析-加载配置、绑定导入、导入地址与延迟导入
zhyulo的博客
01-06 1797
一、加载配置 1.位置与简介     载入配置早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。     后来以XP及以后的系统主要是为了存储SEH句柄,称为安全结构化异常处理程序列,如果SEH异常处理没有经过注册,在载入配置中没有句柄,这个异常处理就不会被执行。     据微软官方说明,这个载入配置的作用是为了防止“x86异常处理程序劫持”的漏洞。因为...
PE文件的延迟加载技术】:提高程序启动速度的5大技巧
本文首先概述了PE文件延迟加载的基本概念,随后深入探讨了延迟加载技术的理论基础,包括PE文件结构、延迟加载的定义和原理,以及与其他优化技术的比较。接着,文章详细介绍了延迟加载技术的具体实现方法,分析了程序...
PE文件结构(五)延迟导入,资源以及其他数据
jzz5072的博客
01-18 407
延迟导入 延迟导入主要是为了加快进程的运载速度而存在,其具体结构如下: typedef struct _IMAGE_DELAYLOAD_DESCRIPTOR { union { //这个联合体是该的属性 DWORD AllAttributes; struct { DWORD RvaBased : 1; // Delay load version 2
可执行文件格式详解 Windows PE和Linux ELF
01-19
PE文件由以下几个主要部分组成: 1. **DOS头**:历史遗留,用于兼容旧的MS-DOS环境,实际上在Windows中并不执行。 2. **PE头**:包含PE标志,标识文件为PE格式,并提供了文件结构信息,如文件类型(可执行文件、...
延迟导入
dre4merp
05-16 1129
延迟导入,顾名思义就是有一些函数或模块,不需要再程序一启动就加载导入,而是等到真正用到的时候才进行导入的。 延迟导入和导入结构基本类似也存在IAT和INT,存在双桥结构,这里不再赘述,关于导入请参考: 先看一下延迟导入的结构体。 typedef struct ImgDelayDescr { DWORD grAttrs; // attributes RVA rvaDLLName; // RVA to dll n
PEView查看DLL延迟加载信息
hou09tian的博客
11-10 448
1DLL延迟加载技术 在Windows中加载程序时,需要把该程序的代码和所需的DLL复制到内存空间中。如果所需的DLL不存在,则程序将会报错。如果程序所需的DLL比较多,则程序启动会消耗较多时间。可以采用DLL延迟加载技术减少程序启动时间。使用该技术的程序,在启动时无需加载所需DLL,在代码试图引用DLL中包含的一个符号时才将DLL加载。 2 VS2015设置DLL延迟加载 使用VS201...
WINDOWS+PE权威指南读书笔记(14)
沐一 · 林 的博客
12-06 665
延迟加载导人 延迟加载导和人PE 中引入的专门用来描述与动态链接库延迟加载相关的数据,因为这些数据所起的作用和结构与导入数据基本一致,所以称为延迟加载导入延迟加载导入和导入是相互分离的。一个 PE 文件中可以同时存在这两种数据,也可以单独存在一种。延迟加载导入是一种特殊类型的导人,同导入一样,它记录了应用程序要导入的部分或全部动态链接库及相关的函数信息。与导入不同的是,它所记录的这些动态链接库并不会被操作系统的 PE 加载加载,只有等到由其登记的相关函数被应用程序调用时
《Windows PE》4.3 延迟加载导入
最新发布
bcdaren的博客
10-08 988
与导入不同的是,它所记录的这些DLL动态链接库并不会被操作系统的PE加载加载,只有等到由其登记的相关函数被应用程序调用时,PE中注册的延迟加载函数才会根据延迟加载导入中对该函数的描述,动态加载相关链接库并修正函数的VA地址,实现对函数的调用。不过,如果用户选择了Print命令,你就可以调用该DLL中的一个函数,然后它就能够自动进行DLL的加载。5.延迟加载的DLL具备的另一个特性是,按照默认设置,调用的函数可以与一些内存地址相链接,在这些内存地址上,系统认为函数将位于一个进程的地址中。
PE文件解析(4):导入的解析
ylh的博客
11-01 1012
数据目录的第二个元素记录着导入包的位置,导出我们上节课已经解析过 了,今天我们来解析导入。,得到了导入的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入记录了一个exe或者一个dll所用到的其他模块导出的函数。
PE格式之千里追踪输入
Miibotree
04-15 2811
高数考完了,终于可以轻松的写代码了。哈哈 终于开始写输入了。输入是我们项目的重头戏。首先还是先介绍下输入的基本知识。 自己写的话有点麻烦,还是copy一下小甲鱼辛辛苦苦打出来的课件吧 输入结构 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。而输入是以一个 IM
动态链接库(DLL)总结---DLL三种调试(8)
热门推荐
oBuYiSeng的博客
12-02 1万+
DLL有三种调试方法:        方法1:                 如果动态链接库是自己编写的,并且测试代码也是自己编写的,那么此时我们可以将动态链接库和测试代码的工程建立在一起,在调试测试代码的时候,可以直接调用动态链接库中的代码。    方法2: 如果动态链接库是自己编写的,而调用动态链接库的程序不是自己编写的,那么我们需要设置动态链接库中的项目属性,启动调用动态链接库的程
Windows下动态链接之一:DLL插件机制的装载和使用
墨篙和小奶猫
10-18 5889
目录: Windows和Linux下动态链接的原则不同 映像基地址 RVA DLL文件的符号导出声明 PE文件头下的DataDirectory DLL文件的符号导出 PE文件的符号导入 DLL显式运行时加载链接demo 1. Windows和Linux下动态链接的原则不同Linux系统以.so共享对象设计共享库,并在设计共享对象的过程,花费很多精力实现.so对象的代码段.text多进程共享,提升
理解PE文件相对虚拟地址(RVA)到文件偏移的转换
松哥(jccz_zys)的专栏
03-12 1万+
        关于PE文件格式的详细描述在网络上可以找到一大堆,最近有空,我也来研究一把。读了很多参考资料,应该说都讲得非常清晰,尤其是看雪学院的iamgufeng翻译的那篇文章,读来受益非浅。       根据我这个菜鸟的阅读感受与实践来说来看,我觉得根据RVA正确换算出到数据相对文件的偏移这个细节这些文章都没有做过多的说明,而这是我唯一化比较多时间来思考的地方。下面我就说说我对此的理解,
Win32可执行文件格式深度解析:与时俱进的变化与新特性
PE文件格式包含几个关键部分,如文件头、节和导出/导入。文件头提供了关于文件类型(如可执行文件或动态链接库)和目标处理器的信息。节则定义了文件中的数据区域,如代码、数据、资源和初始化数据。导入和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值