通过WINNT.H定义的结构体,获取进程IAT表

最新推荐文章于 2024-08-08 13:22:20 发布
最新推荐文章于 2024-08-08 13:22:20 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: C语言学习 文章标签: PE结构体 获取IAT表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/enjoy5512/article/details/51569519
版权
本文介绍了如何借助WINNT.H中定义的结构体,高效地获取PE文件的IAT(导入地址表)信息。详细步骤包括获取模块信息、DOS头、NT映象头、NT可选映象头,最后解析IAT表并遍历获取导入函数详情。测试代码包含在内,注释详细解释了每一步操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在前面的文章里,学习PE结构都是通过手动的方式去计算PE结构的NT映象头,NT可选头之类的,手动计算确实有利于加深对PE结构的熟悉程度,但是,在实际编程的时候,利用一些数据结构会让程序更高效,更简洁..于是,顺便记录了下通过WINNT.H自定义的结构体,来获取本进程的IAT表

注 : 转载请注明来源 enjoy5512的博客 http://blog.youkuaiyun.com/enjoy5512

打开WINNT.H文件可以看到里面定义了大量的结构体,正是这些已定义好的结构体,让我们能更方便的去获取PE文件的结构信息

这里写图片描述

获取IAT表大致过程:

1) 获取模块信息
2) 获取DOS头
3) 获取NT映象头
4) 获取NT可选映象头
5) 获取IAT表地址
6) 循环遍历IAT表,获取导入函数信息

测试代码

具体解释请看代码的注释

///////////////////////////////////////////////////
最低0.47元/天 解锁文章
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
开发知识点-C++之win32与NT内核
aming小老弟
03-07 754
VC++远控编程班www.zygx8.com 61201860605658096586599275746120931930648561639269 123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com免费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。
获取进程中导入函数的地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数的地址。(主要是技术方面的讨论)
获取当前进程IAT
小驹的专栏
06-14 1477
#include #include int main(int argc, char* argv[]) { HMODULE hModule = ::GetModuleHandleA(NULL); IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModule; IMAGE_OPTIONAL_HEADER* pOpNtHeader = (
IAT详解
cay22的专栏
02-05 8126
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
IAT结构分析
playmaker的博客
03-13 728
IAT结构分析 IAT介绍 解决兼容问题(不同机器的dll版本不同,地址自然不同),操作系统就必须提供一些措施来确保可以在其他版本的Windows操作系统,以及DLL版本下也能正常运行。 这时IAT(Import Address Table:输入函数地址)就应运而生了。 IAT定位 手工寻找 利用PEview找到程序的NT头的可选头内有个import table此处记录了其RVA。 根据结构体...
检测IAT HOOK----进程内存中的IAT
草原Song
06-01 1310
检测IAT HOOK----进程内存中的IAT        昨天写的是磁盘的IAT.现在是内存的IAT.接着进行比较就可以得到IAT HOOK了用OpenProcess和ReadProcessMemory读取你想读的进程..然后按照PE文件格式来解释读到的数据,lpBase就是读
《Windows核心编程》之“API Hooking”(二)
Sagittarius_Warrior的博客
08-17 1200
前一篇主要讲“API Hooking”的原理——修改IAT,这一篇主要讲代码实现和调试。 一、修改IAT     我们要修改IAT,首先要了解导入段的数据结构和操作API。 1,IMAGE_IMPORT_DESCRIPTOR     在winnt.h文件中,定义了这么一个数据结构来描述导入段中的信息单元 typedef struct _IMAGE_IMPORT_DESCRIPTOR {
Hook API(挂钩API)技术
Ginvar的专栏
08-25 2689
Hook API,简单说,就是给API函数挂钩,将本应该调用的API函数拦截,使其转而调用我们自己的函数。这里,我主要介绍如何利用IAT挂钩来实现API拦截。 在我们启动目标程序时,操作系统负责为目标程序创建虚拟地址空间,并将这个可执行模块(就是目标程序)加载到地址空间中去,接下来,系统会将目标程序所需要的DLL文件映射到地址空间。我们将需要映射到地址空间的目标程序及所需DLL统称为模块(Mod
用驱动遍历进程IAT
Misaka10046的博客
05-02 287
WIN7 X86。
winnt.h头文件
03-31
微软头文件WinNT.h,初学者和windows程序员看看,好好熟悉一下新定义的数据类型
IAT
crkres9527
09-27 668
A、初识IAT     B、IAT相关结构     C、读出IAT项     D、编写代码测试分析       E、HOOK IAT     F、测试分析 A、认识IAT 导入函数 B、IAT相关结构 PIMAGE_DOS_HEADER //->e_lfanew //PE文件头偏移值 PIMAGE_NT_HEADERS //->OptionalHeade...
获取内存中可执行文件的PE结构--导入
nuy195as
01-17 262
获取内存中可执行文件的PE结构--导入 2012年01月14日   // MemPEImportTable.cpp : 定义控制台应用程序的入口点。   //   // 1、提升自身进程的权限   // 2、获取其他进程的句柄和在内存中的起始地址   // 3、读取其他进程的Import信息   // 4、打印出其他进程的Import信息   // 5、如果是系统级进程可能...
WIN32汇编实现进程导入HOOK API
u010416927的专栏
06-05 839
;**************************************************** ;DevName:进程导入API_HOOK ;开发者:GhostHand ;**************************************************** .386 .
[PE结构分析] 8.输入结构和输入地址IAT
最新发布
whl0071的专栏
08-08 182
[PE结构分析] 8.输入结构和输入地址IAT
IAT-Hook 劫持进程Api调用
笔记本
05-28 2729
✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hook的实现代码,后续再更新复制原始API部分代码的热补丁Hook和SSDT-Hook T_T 本来昨...
导入解析,IAT解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 1036
我们再上一章节简要介绍了IAT,我们知道如果程序调用dll中的函数时,必须通过IAT来找到函数,我们基本了解了IAT之后,我们今天来讲解一下导入,通过本章节的学习,我们可以了解导入,也能对IAT有一个更深入的了解。
Hook进程IAT
u011569253的博客
05-10 685
这两天研究下IAT的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单的hook IAT。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IATPE文件中的位置,当你有了这些知识之后就可以对IAT做hook了。这里我就不对IAT做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
解析导入IAT
hambaga的博客
05-21 1883
一、导入的结构 导入的结构看起来复杂,其实只是套娃,不要被它吓到了。 导入定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值