PE import function

最新推荐文章于 2022-09-23 16:52:57 发布
原创 最新推荐文章于 2022-09-23 16:52:57 发布 · 573 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#import #function #header #descriptor #dos #null

本文介绍了一个C++程序如何解析PE文件格式的导入表,通过使用Windows API和直接操作内存映射文件来读取并解析PE文件中的导入表信息。文章详细展示了如何定位到导入表的位置,并遍历每个导入的DLL及其对应的API名称。

// cccc.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include"memory.h"
#include "windows.h"
#include <stdio.h>
#include <conio.h>
#include "Dbghelp.h"

PIMAGE_SECTION_HEADER ImageRVA2Section(PIMAGE_NT_HEADERS pimage_nt_headers,DWORD dwRVA)
{
 int i;
 PIMAGE_SECTION_HEADER pimage_section_header=(PIMAGE_SECTION_HEADER)((PCHAR(pimage_nt_headers)) + sizeof(IMAGE_NT_HEADERS));
 for(i=0;i<pimage_nt_headers->FileHeader.NumberOfSections;i++)
 {
  if((pimage_section_header->VirtualAddress) && (dwRVA<=(pimage_section_header->VirtualAddress+pimage_section_header->SizeOfRawData)))
  {
   return ((PIMAGE_SECTION_HEADER)pimage_section_header);
  }
  pimage_section_header++;
 }
 return(NULL);
}
DWORD RVA2Offset(PCHAR pImageBase,DWORD dwRVA)
{
 DWORD _offset;
 PIMAGE_SECTION_HEADER section;
 PIMAGE_DOS_HEADER pimage_dos_header;
 PIMAGE_NT_HEADERS pimage_nt_headers;
 pimage_dos_header = PIMAGE_DOS_HEADER(pImageBase);
 pimage_nt_headers = (PIMAGE_NT_HEADERS)(pImageBase+pimage_dos_header->e_lfanew);
 section=ImageRVA2Section(pimage_nt_headers,dwRVA);
 if(section==NULL)
 {
  return(0);
 }
 _offset=dwRVA+section->PointerToRawData-section->VirtualAddress;
 return(_offset);
}

 


int func(int x)
{
    int countx = 0;
    while(x)
    {
          countx ++;
          x = x&(x-1);
    }
    return countx;
}
int _tmain(int argc, _TCHAR* argv[])
{
// LoadLibrary(_T("Dbghelp.dll"));
 DWORD dwFsize   = 0;
 PIMAGE_NT_HEADERS  nt_header;//=new IMAGE_NT_HEADERS;
 HANDLE hFile;
 HANDLE hMapFile;
 PCHAR pImageBase;
 hFile=CreateFile(_T("1.exe"),GENERIC_READ|GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);
 if (hFile == INVALID_HANDLE_VALUE)
 {
  printf("Could not open file (error %d)/n", GetLastError());
  return 0;
 }
 hMapFile = CreateFileMapping(
                 hFile,    // use paging file
                 NULL,                    // default security
                 PAGE_READWRITE,          // read/write access
                 0,                       // max. object size
                 dwFsize,                // buffer size 
                 _T("Test"));                 // name of mapping object
 if (hMapFile == NULL || hMapFile == INVALID_HANDLE_VALUE)
   {
      printf("Could not create file mapping object (%d)./n",
             GetLastError());
      return 0;
   }
 dwFsize=GetFileSize(hFile,0);
 pImageBase=(PCHAR)MapViewOfFile(hMapFile,   // handle to map object
                        FILE_MAP_ALL_ACCESS, // read/write permission
                        0,                  
                        0,                  
                        dwFsize); 
 if (pImageBase == NULL)
    {
      printf("Could not map view of file (%d)./n",
             GetLastError());
      return 0;
    }
 nt_header=ImageNtHeader(pImageBase);

 DWORD it_voffset = nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
 PIMAGE_DOS_HEADER pimage_dos_header = PIMAGE_DOS_HEADER(pImageBase);
 PIMAGE_NT_HEADERS pimage_nt_headers = PIMAGE_NT_HEADERS(pImageBase + pimage_dos_header->e_lfanew);
  it_voffset = pimage_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
 

  DWORD dwImportDirectory=RVA2Offset(pImageBase, pimage_nt_headers->OptionalHeader.
          DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

  PIMAGE_IMPORT_DESCRIPTOR pimage_import_descriptor= (PIMAGE_IMPORT_DESCRIPTOR)(pImageBase+dwImportDirectory);

 PCHAR pThunk;
 PCHAR pHintName;
 DWORD dwAPIaddress;
 PCHAR pDllName;
 PCHAR pAPIName;
 while(pimage_import_descriptor->Name!=0)
 {
  pThunk= pImageBase+pimage_import_descriptor->FirstThunk;
  pHintName= pImageBase;
  if(pimage_import_descriptor->OriginalFirstThunk!=0)
  {
   pHintName+= RVA2Offset(pImageBase, pimage_import_descriptor->OriginalFirstThunk);
  }
  else
  {
   pHintName+= RVA2Offset(pImageBase, pimage_import_descriptor->FirstThunk);
  }
  pDllName= pImageBase + RVA2Offset(pImageBase, pimage_import_descriptor->Name);
  printf(" DLL Name: %s/r/n First Thunk: 0x%x/r/n", pDllName,
  pimage_import_descriptor->FirstThunk);
  PIMAGE_THUNK_DATA pimage_thunk_data= (PIMAGE_THUNK_DATA) pHintName;
  while(pimage_thunk_data->u1.AddressOfData!=0)
  {
   dwAPIaddress= pimage_thunk_data->u1.AddressOfData;
   if((dwAPIaddress&0x80000000)==0x80000000)
   {
    dwAPIaddress&= 0x7FFFFFFF;
    printf("  Proccess: 0x%x/r/n", dwAPIaddress);

   }
   else
   {
    pAPIName= pImageBase+RVA2Offset(pImageBase, dwAPIaddress)+2;
    printf("  Proccess: %s/r/n", pAPIName);
    if (strcmp(pAPIName,"MessageBoxW")==0)
    {
     MessageBox(NULL,_T("get name"),0,0);
    }
   }
   pThunk+= 4;
   pHintName+= 4;
   pimage_thunk_data++;
  }
  pimage_import_descriptor++;
 }

 UnmapViewOfFile(pImageBase);

 

 getchar();
 func(0xfffff);
 return 0;
}
 

gclu212
关注
PE结构之导入表
weixin_43751677的博客
10-11 682
如果某个导入表的时间戳==-1 ,请查看。
《Windows PE》4.1.3 IAT函数地址表
bcdaren的博客
10-04 1159
如果导入表描述符的TimeDateStamp和ForwarderChain字段是一个特殊的标志值,如0xFFFFFFFF,表示导入函数已绑定,则IAT函数地址表中存储的是真实的导入函数地址。在程序加载时,操作系统会根据导入描述符中的INT表和IAT表进行动态链接,将导入函数的实际入口地址填充到IAT表中的函数指针对应的位置。IAT表就是用来存储这些实际的函数入口地址。首先找到数据目录项的第12项,获取IAT函数地址表的RVA地址,加上基址后,得到并输出加载到内存中的IAT函数地址表的VA地址。
Export/Import Function
桃子小迷妹
09-23 795
Export/Import Function
vue中使用import引入的(方法)function
Cainannan1995的博客
04-08 7157
vue3种使用import引入的方法 vue3废弃了过滤器的写法,但是很多时候我们对数据进行处理的时候是需要一些转化的,比如我最近遇到的时间转化的问题。刚开始我的做法是 然后在用的地方引入 一开始的时候我在用的地方直接用了 然而。。控制台报错是这样的 研究一番之后发现是html里面的内容引用的function必要要export default之后才能使用,所以vue3的话就是把import的方法return 出去就可以 vue2的话就是在methods里面声明一下也可以 这样就可以在html中使用imp
有关py文件的调用——python中import函数
youzhizhe2014的博客
11-26 1039
有关py文件的调用——python中import函数 最近写程序的时候发现的一个低级但需要注意的点 为什么需要import函数 由于project中文件归类的关系,py文件和其调用的其他py文件经常出现不在同一级目录的情况。 怎样使用import函数 一句话总结就是,不同的层级所使用的的方法虽不同但类似。现将目录层级分为如下图所示的三种情况并分别说明import的正确使用方法。 调用处于同一级的py文件 在test.py中调用train,py: import train.py 或调用trai
python如何导入函数_Python导入(import)模块的方法
weixin_39610422的博客
11-24 1589
1、导入整个模块:模块 是扩展名为.py的文件,包含要导入到程序中的代码。import module_name2、导入特定的函数from module_name import function_name也可以导入多个from module_name import function_0, function_1, function_23、使用as 给函数指定别名:如果要导入的函数的名称可能与程序中现...
Functionfunction
weixin_34034261的博客
12-09 291
2019独角兽企业重金招聘Python工程师标准>>> ...
PE总结10---PE文件结构之导入表 (IMAGE_IMPORT_DESCRIPTOR
oBuYiSeng的博客
12-11 4545
1、导入表基址是PE文件从其他三方程序中导入API,以供本程序调用的机制 2、是分析最好的切入点 IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色,引导系统找到真正保存有导入信息的其他两个结构:  IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_DESCRIPTOR {
PE格式----目录----导入表
一个热爱逆向,喜爱学习、分享的猿。
01-21 597
导入模块数组 导入表是一个IMAGE_IMPORT_DESCRIPTOR数组, 长度是14h,并且以14h字节的“0”作为数组结尾。每个模块对应一个IMAGE_IMPORT_DESCRIPTOR结构。( WinNt.h)。 struct _IMAGE_IMPORT_DESCRIPTOR { +0h union { DWORD Characteristics; DWORD OriginalFirstThunk; //IMAGE_THUNK_DA
用Python构建一个PE文件
05-28 1883
用Python生成一个PE文件,主要是为了学习PE格式,因为看很多红队工具的原理都要掌握这个,这篇文章主要是记录调试代码的过程。 主要使用的是Python3。 有关PE的文件结构描述,之前写过一个简短的对每个字段的描述 描述pe格式的主要地方是winnt.h,其中有一节叫做Image Format,该节给出了DOS MZ格式和Windows 3.1 NE格式的文件头,之后就是PE文件的内容。在这个文件中几乎能找到所有关于PE文件的数据结构定义、枚举类型、常量定义。 EXE文件和Dll文件..
JavaScript ---Function
weixin_30550271的博客
02-26 224
关键字function用来定义函数。 //函数声明式定义:function funcname([arg1[,args[...,argn]]]){ statements }//函数表达式定义:var funcname = function ([arg1[,args[...,argn]]]){ statements }; 注意,function语句里的花挂号是必需的,即使函...
function
脚步6978
11-19 189
function read_file_cache($name) { static $cacheMap = array(); if (!isset($cacheMap[$name])) { if (file_exists(TMP_PATH.'/'.$name.'.php')) { $cacheMap[$name] = include(TMP_PATH.'/'.$name...
Function的用法
热门推荐
qq_41055607的博客
01-13 1万+
定义函数的基本方法:        1,函数声明:             function fun1(){           }        2,函数表达式:             var fun2 =function (){           }        3,Function:            var fun3 = new Function(){     ...
F. Function!
多一些不为什么的坚持
12-06 965
题目:F. Function! 总结:对于b>=a,logba往上取,那么一定是1。那么就只需要考虑logab,q =sqrt(n),对于 q+1~n,每一段的答案都是 i*(n-i+1),可以将这个公式分解,就变成i*(n+1)-i2,对于i*(n+1),可以用等差数列,对于i2,可以用n*(n+1)(2n+1)/6。 还有一种情况就是从1~n,他们之间有成倍数的关系。可以推算出来。特...
function功能函数
weixin_30357231的博客
06-28 454
函数名只能是字母,数字,下划线的组合,并且之间不能包含空格,数字不能放在变量名首位。 函数名与变量命名规则一样,但是不同的是:函数名不区分大小写. 函数可以调用,不能重载。 最重要的是你的思想,僵化?,兔子算法(斐波那契数列)有几种解决方式?优缺点?https://blog.youkuaiyun.com/u012833845/article/details/49932859 转载于:https:/...
;!function(){}()
兜兜里全是糖_博客
10-13 2650
$(function(){})与 (function(){})() (function($){})() 的区别 1. $(function(){ }) 或 jQuery(function(){ })    此函数也可以写成 jQuery(function(){ }), 用于存放操作DOM对象的代码,执行其中代码时DOM对象已存在。不可用于存放开发插件的代码,因为jQuery对象没有得到传递,
Function究竟是什么?
WiZiM404.COM
08-05 2332
   转自:http://www2.flash8.net/teach/5239.htmFunction究竟是什么?我们习惯了function的存在,就像习惯了我们呼吸的空气却不去探究它的本质。看起来,似乎function和Number, Boolean, String一样都是ActionScript本来就有的类型先看以下代码:trace (aFunc);                  
function()()和~function(){}意义,(function(){}())和(function(){})()区别
macleer的博客
07-21 737
就javascript的语法而言,如果一条语句是以function关键字开始,那么这段会被判定为函数定义。而函数定义是不能被立即执行的,这无疑会导致语法的错误(SyntaxError),因此就必须有一个办法,使解析器可以将之识别为函数表达式。 解析器识别函数定义的条件是以function关键字开始,那么自然,只要在function关键字的前面有任何其他的元素,就会从函数定义转变为函数表达式,以下
PE是什么
最新发布
08-07
在计算机领域,PE 通常指的是 **Portable Executable(可移植可执行文件)** 格式。这是由微软为 Windows 操作系统开发的一种文件格式,用于可执行文件(如 `.exe`)、动态链接库(如 `.dll`)、驱动程序(如 `.sys`)等二进制文件的存储和加载。 ### PE 文件结构的作用 PE 文件格式为 Windows 系统下的程序提供了标准的加载和执行机制。它包含多个关键结构,例如: - **DOS 头部**:用于兼容 MS-DOS 的小型引导程序。 - **PE 文件签名**:标识该文件为 PE 格式。 - **文件头(File Header)**:描述文件的基本属性,如目标平台、节的数量等。 - **可选头(Optional Header)**:包含程序加载时所需的信息,如入口地址、代码段地址、数据段地址等。 - **节表(Section Table)**:描述每个节(如 `.text`、`.data`、`.rsrc`)的属性和偏移。 - **导入表(Import Table)**:列出程序运行时依赖的外部函数和 DLL。 - **导出表(Export Table)**:列出该文件提供给其他模块调用的函数。 - **资源(Resources)**:如图标、字符串、对话框模板等。 这些结构为逆向工程、恶意软件分析、程序调试和安全检测提供了关键信息[^1]。 ### PE 文件在安全分析中的应用 PE 文件格式为恶意软件的检测和分析提供了结构化依据: - **静态分析**:通过解析 PE 文件的头部信息、导入表、节表等,可以识别潜在的恶意行为特征。例如,某些恶意软件会使用特定的节名(如 `.malcode`)或隐藏导入函数以逃避检测。 - **动态分析**:加载 PE 文件并监控其行为,如 API 调用序列、内存分配模式、网络连接等。 - **行为检测**:结合控制流图(CFG)、抽象语法树(AST)以及特征向量,可以识别未知恶意软件家族。 - **YARA 规则匹配**:通过匹配 PE 文件中的节名、导入函数、魔数等特征,识别已知的恶意软件样本[^1]。 ### 示例:PE 文件结构解析 以下是一个简单的 Python 示例,使用 `pefile` 库解析 PE 文件的导入表信息: ```python import pefile # 加载 PE 文件 pe = pefile.PE("example.exe") # 遍历导入表 for entry in pe.DIRECTORY_ENTRY_IMPORT: print(f"Imported DLL: {entry.dll.decode('utf-8')}") for func in entry.imports: print(f" Function: {func.name.decode('utf-8')} (RVA: 0x{func.address:08X})") ``` 该代码输出 PE 文件中导入的 DLL 及其函数名称和地址,适用于静态分析流程。 ### PE 在其他上下文中的含义 虽然 PE 在计算机领域最常指 **Portable Executable**,但在其他语境中也可能有不同的含义,例如: - 在教育领域,PE 可能指 **Physical Education(体育)**,如“PE teacher”表示“体育老师”[^2]。 - 在自然语言处理领域,PE 可能是 **Pre-trained Embedding** 或 **Positional Encoding** 的缩写,用于表示词的位置信息,如 Transformer 模型中的位置编码。 不过,在计算机安全和逆向工程领域,PE 几乎无一例外地指 **Portable Executable** 格式。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值