IMPORT ADDRESS TABLE ENTRY

最新推荐文章于 2023-09-15 08:52:47 发布
原创 最新推荐文章于 2023-09-15 08:52:47 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#import #table #工作 #dll #windows #dos

首先,说下FLAT内存模式,DOS时代,由于早起的硬件设计问题,为了充分利用CPU的寻址能力
产生了分段内存管理,用两个16位的寄存器来指示20位的内存地址,
在CPU进入32位后,32位地址线所能寻址的地址空间为2^32,即4GB
并且32位CPU提供了保护模式工作方式,在保护模式下,段寄存器中存放的是选择子
内存在程序员看来,就是一段平坦的(。。描述的不好,忍下)

队列中存放指令,这个说的是指令队列吧,8086就已经有6字节的指令队列了
必须明确的一点是,数据在计算机中是以2进制形式存在的,CPU的工作方式规定了
CS:IP指向的为指令,SS:SP指向的为栈,这些是CPU设计时由它的工作方式确定了的,
并且为了支持这些,专门设计了一些指令,比如JMP,CALL,PUSH,POP等
指令队列的存在是为了提高CPU的工作效率 ,不用每次执行指令时到内存中去取,
可以先取一部分过来,然后一边执行一遍继续从内存中取,放到指令队列中

这些可以看一些接口技术的书,不用深入学习,简单浏览下前面的内容,就能解决你的疑惑


你说的IMPORT ADDRESS TABLE ENTRY 是PE文件的导入表吧,PE文件中,对DLL里函数的调用
会编程跳转到导入表中的相应位置,然后在这里有跳转指令,进入DLL中的相应函数,这个函数的地址
是windows在装入可执行文件时动态填写的
Windows PE》4.1导入表
bcdaren的博客
10-03 1821
IMAGE_IMPORT_BY_NAME结构体用于描述PE文件中的导入地址表(Import Address Table,IAT)或原始未绑定导入地址表(Original Unbound Import Address Table)中,通过名称进行导入的函数的信息。然后根据导入表FOA地址,在PE文件中找到导入表描述符的起始地址,循环遍历获取导入表描述符的OriginalFirstThunk字段中保存的RVA地址,将此RVA地址转换为FOA地址,即INT表IMAGE_THUNK_DATA的起始地址。
Fisco Bcos “Table”库,增删查改
小黎的博客
07-17 1042
在使用Table库时,我们需要新建Table.sol文件,在Table.sol文件下写入以下代码,不要使用官方文档里的!用装系统内置的,如下// 查询条件//等于//不等于//大于//大于或等于//小于//小于或等于//限制返回记录条数// 单条数据记录// 数据记录集// Table主类其中,Table合约的insert、remove、update和select函数中key的类型为string,其长度最大支持255字符。
IAT(import address table) hook C++实例
09-13
C++ 通过导入表(IAT)实现inline hook,已经过测试
PE import/export address table
ai82036620的博客
06-13 355
#include <stdlib.h> #include <stdio.h> #include <windows.h> // http://hatriot.github.io/blog/2017/09/19/abusing-delay-load-dll/ // https://blog.youkuaiyun.com/adam001521/arti...
PE中的import table/IAT 分析
panda1987的专栏
10-08 1万+
本文将通过一个实例说明PE结构中的import tableimport address table(IAT). 在data directory中有两项:IMAGE_DIRECTORY_ENTRY_IMPORT(1)和IMAGE_DIRECTORY_ENTRY_IAT(12),IMAGE_DIRECTORY_ENTRY_IMPORT指向了该PE文件中所有的输入信息,而IMAGE_DIRECTORY_ENTRY_IAT指向了该PE文件中的导入地址表。现在不必关心这两个表的关系,在之后的分析中将渐渐明朗。如果用
PE教程6: Import Table(引入表)二
benny5609的专栏
06-17 1451
由OriginalFirstThunk 指向的RVA数组始终不会改变,所以若还反过头来查找引入函数名,PE装载器还能找寻到。当然再简单的事物都有其复杂的一面。有些情况下一些函数仅由序数引出,也就是说您不能用函数名来调用它们: 您只能用它们的位置来调用。此时,调用者模块中就不存在该函数的 IMAGE_IMPORT_BY_NAME 结构。不同的,对应该函数的 IMAGE_THUNK_DATA 值的
package czxt; import java.util.ArrayList; import java.util.LinkedList; import java.util.List; import java.util.Queue; // 页表项类,用于表示页表中的一个条目,包含页号、是否在内存中、帧号、是否修改和磁盘位置等信息 class PageTableEntry { int pageNumber; // 页号 boolean present; // 是否在内存中 int frameNumber; // 帧号 boolean modified; // 是否被修改 int diskLocation; // 磁盘位置 // 构造函数,用于初始化页表项的各个属性 public PageTableEntry(int pageNumber, boolean present, int frameNumber, boolean modified, int diskLocation) { this.pageNumber = pageNumber; this.present = present; this.frameNumber = frameNumber; this.modified = modified; this.diskLocation = diskLocation; } } // 动态分页存储管理类,实现了页面的添加、访问和页表置换等功能 class DynamicPagingManagement { private int totalMemory; // 总内存大小 private int blockSize; // 块大小 private int numFrames; // 帧数 private List<PageTableEntry> pageTable; // 页表 private Queue<Integer> frameQueue; // 帧队列(FIFO) private List<String> log; // 日志列表,用于记录页面访
04-24
Map, PageTableEntry> pageTable = new HashMap(); ``` #### 二、页面置换算法实现 ##### 1. FIFO算法示例(参考引用[3]) ```java Queue<Integer> fifoQueue = new LinkedList(); void replacePageFIFO(int ...
KIP01_CORE>show mac address-table | include 5897.bdf3.1484 160 5897.bdf3.1484 DYNAMIC Po17
最新发布
08-05
Cisco交换机中,`show mac address-table include 5897.bdf3.1484` 命令用于查看MAC地址表中与指定MAC地址相关的条目。该命令的输出结果通常包含以下关键信息: 1. **VLAN ID**:标识MAC地址所属的虚拟局域网。 2. ...
写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc)
可乐松子的博客
05-26 3942
文章目录Part 2:输入表和重定位表1.ASLR预备知识2.输入表支持detail 1:什么是输入表?detail 2:PE Header描述detail 3:真实的输入表detail 4:编程处理数据结构编程实现扩展:LIEF中重建Import Table介绍3.管理重定位表detail 1:什么是重定位表?detail 2:重定位表结构detail 3:编程处理4.结果展示5.参考 Part 2:输入表和重定位表 本文主要处理Part 1中遗留的2张表:输入表和重定位表(执行一个ASLR使能的文件不
PE signature found File Type: DLL FILE HEADER VALUES 8664 machine (x64) 2 number of sections E04F9911 time date stamp 0 file pointer to symbol table 0 number of symbols F0 size of optional header 2022 characteristics Executable Application can handle large (>2GB) addresses DLL OPTIONAL HEADER VALUES 20B magic # (PE32+) 48.00 linker version 1DDA00 size of code 400 size of initialized data 0 size of uninitialized data 0 entry point 2000 base of code 180000000 image base (0000000180000000 to 00000001801E1FFF) 2000 section alignment 200 file alignment 4.00 operating system version 0.00 image version 6.00 subsystem version 0 Win32 version 1E2000 size of image 200 size of headers 0 checksum 3 subsystem (Windows CUI) 8560 DLL characteristics High Entropy Virtual Addresses Dynamic base NX compatible No structured exception handler Terminal Server Aware 400000 size of stack reserve 4000 size of stack commit 100000 size of heap reserve 2000 size of heap commit 0 loader flags 10 number of directories 0 [ 0] RVA [size] of Export Directory 0 [ 0] RVA [size] of Import Directory 1E0000 [ 38C] RVA [size] of Resource Directory 0 [ 0] RVA [size] of Exception Directory 0 [ 0] RVA [size] of Certificates Directory 0 [ 0] RVA [size] of Base Relocation Directory 1DF918 [ 38] RVA [size] of Debug Directory 0 [ 0] RVA [size] of Architecture Directory 0 [ 0] RVA [size] of Global Pointer Directory 0 [ 0] RVA [size] of Thread Storage Directory 0 [ 0] RVA [size] of Load Configuration Directory 0 [ 0] RVA [size] of Bound Import Directory 0 [ 0] RVA [size] of Import Address Table Directory 0 [ 0] RVA [size] of Delay Import Directory 2000 [ 48] RVA [size] of COM Descriptor Directory 0 [ 0] RVA [size] of Reserved Directory SECTION HEADER #1 .text name 1DD9B7 virtual size 2000 virtual address (0000000180002000 to 00000001801DF9B6) 1DDA00 size of raw data 200 file pointer to raw data (00000200 to 001DDBFF) 0 file pointer to relocation table 0 file pointer to line numbers 0 number of relocations 0 number of line numbers 60000020 flags Code Execute Read Debug Directories Time Type Size RVA Pointer -------- ------- -------- -------- -------- EF5D2053 cv 67 001DF950 1DDB50 Format: RSDS, {39633015-CF28-40B4-A779-FEC96A23033D}, 1, C:\Users\Administrator\source\repos\0X0RAT\Stubdll\obj\x64\Release\Stubdll.pdb 00000000 repro 0 00000000 0 SECTION HEADER #2 .rsrc name 38C virtual size 1E0000 virtual address (00000001801E0000 to 00000001801E038B) 400 size of raw data 1DDC00 file pointer to raw data (001DDC00 to 001DDFFF) 0 file pointer to relocation table 0 file pointer to line numbers 0 number of relocations 0 number of line numbers 40000040 flags Initialized Data Read Only Summary 2000 .rsrc 1DE000 .text
06-09
0 file pointer to symbol table 0 number of symbols F0 size of optional header 2102 characteristics Executable Application can handle large (>2GB) addresses ``` 上述信息表明该 DLL 是为 x64 架构...
PE文件格式详解(五)――Improt Table(引入表)
lwglucky的专栏
03-13 1190
这节即将学习的Import Table和下节的Export Table关系密切,两者联合起来就可以解决我们开始提出的问题。在说明Import Table和Export Table的作用之前先让我们明白编译器是如何处理我们调用外部库函数的。在PE 文件中,当你调用另一模块中的函数(例如USER32.DLL 中的GetMessage),编译器制造出来的CALL 指令并不会把控制权直接传给DLL 中的函
Import Table(引入表)
hellotjc的专栏
03-07 3391
首先,您得了解什么是引入函数。一个引入函数是被某模块调用的但又不在调用者模块中的函数,因而命名为"import(引入)"。引入函数实际位于一个或者更多的DLL里。调用者模块里只保留一些函数信息,包括函数名及其驻留的DLL名。现在,我们怎样才能找到PE文件中保存的信息呢? 转到 data directory 寻求答案吧。再回顾一把,下面就是 PE header: IMAGE_NT_
4.3 IAT Hook 挂钩技术
热门推荐
优快云
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
脱壳系列(三) - 输入表
andiao1218的博客
11-02 269
前言: 输入表又称导入地址表(Import Address Table),简称 IAT API 函数被程序调用但执行代码又不在程序中,而是位于一个或者多个 DLL 中 当 PE 文件被装入内存的时候,Windows 装载器才将 DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成,其中导入地址表就指示函数实际地址 程序: 运行...
比特币RPC API
mutourend2010@gmail.com
05-24 2200
借鉴bitcoin RPC API手册、bitcoincore及bitcoin zkcp版本 1、listtransactions The listtransactions RPC returns the most recent transactions that affect the wallet. listtransactions调用返回最近发生的与钱包有关的交易清单。该调用需要节点 启用钱包...
IAT 三连之什么是 IAT?
hl1293348082的专栏
03-27 833
IAT 的全称是 ImportAddress Table。在可执行文件中使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入表来完成的。 导入表中存放了程序所有使用的 DLL 模块名称及导入的函数名称或函数序号。 本文所用文件及源代码下载地址: https://pan.baidu.com/s/1o9360AI 学习 IAT 有什么用? 在脱
33. 脱壳篇-重建输入表
墨痕诉清风的博客
03-08 1186
OD自动分析MessageBox,call 004011EA,他是怎么分析知道函数MessageBox 打开PE头文件,INT 我们要重点关注的字段一个是ImageBase基址,一个是Import Table address导入表地址,这里导入表的地址是基地址+偏移地址 在代码区搜索导入表地址 分析完如下图 查找这两个偏移地址就可以看到dll和函数的地址...
关于导入表
zzx的博客
12-14 1047
写一篇关于导入表的文章。 逆向脱壳,找到入口点之后,dump。一般都会遇到要修复导入表的问题,因而了解导入表就有必要。 首先说一下什么是导入表,百度百科给出的解释是 Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用
dumpbin的命令
eskimoer的专栏
06-09 4086
1 所有的命令 用法: DUMPBIN [选项] [文件]    选项:       /ALL       /ARCHIVEMEMBERS       /CLRHEADER       /DEPENDENTS       /DIRECTIVES       /DISASM[:{BYTES|NOBYTES}]       /ERRORREPORT:{NONE|PROMPT|QU
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值