4.ring0-遍历IAT(特例NTOS)

最新推荐文章于 2023-05-02 16:27:33 发布
原创 最新推荐文章于 2023-05-02 16:27:33 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#file #command #list #user #2010

本文详细解析了NTOS中通过IMAGE_DIRECTORY_ENTRY_IAT获取IAT的方法,以及提供了一段用于遍历IAT的代码实现。特别强调了INIT方式加载后,IMPORT对应的区域被释放的问题,并通过Windbg进行直观验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原NTOS的IAT只能通过IMAGE_DIRECTORY_ENTRY_IAT(12)来获得,因为NTOS加载完后,INIT方式加载,所以IMAGE_DIRECTORY_ENTRY_IMPORT对应的区域被释放了!
坑爹啊,
可以用windbg很直观的看到:
X86:



x64:

其他的IAT遍历代码如下:
NTSTATUS EnumIATTable(ULONG_PTR pBase)
{
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pBase;
	PIMAGE_NT_HEADERS pNt = NULL;
	PIMAGE_IMPORT_DESCRIPTOR pImport = NULL;
	PIMAGE_THUNK_DATA pThunk = NULL;
 
	if (NULL == pDos
		|| IMAGE_DOS_SIGNATURE != pDos->e_magic)
	{
		return STATUS_INVALID_IMAGE_FORMAT;
	}
 
	pNt = (PIMAGE_NT_HEADERS)((PUCHAR)pBase+pDos->e_lfanew);
	if (IMAGE_NT_SIGNATURE != pNt->Signature)
	{
		return STATUS_INVALID_IMAGE_FORMAT;
	}
 
	pImport = (PIMAGE_IMPORT_DESCRIPTOR)((PUCHAR)pBase+pNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
 
	// 枚举打印
	while (NULL !=pImport
		&& MmIsAddressValid(pImport)
		&&pImport->Name != 0)
	{
		pThunk = (PIMAGE_THUNK_DATA)((PUCHAR)pBase+pImport->FirstThunk);
		while (NULL != pThunk
			&& MmIsAddressValid(pThunk)
			&& pThunk->u1.Function != 0)
		{
			KdPrint(("[EnumIATTable]-Import Module:%s-function:%p\r\n", (PUCHAR)pBase+pImport->Name, pThunk->u1.Function));
			pThunk++;
		}
 
		pImport++;
	}
 
	return STATUS_SUCCESS;
}







junzz.exe 脱壳-偷梁换柱修复IAT练手程序
05-04
脱壳-偷梁换柱修复IAT练手程序
VProtect 1.x - 2.x Direct IAT Unpacker 1.0.txt
12-14
VP 脱壳 脚本
IAT HOOK及遍历IAT
哈尔滨-猫猫
01-03 958
// ConsoleApplication2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include // 定义MessageBoxA函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType); int W
IAT
crkres9527
09-27 675
A、初识IAT     B、IAT表相关结构     C、读出IAT项     D、编写代码测试分析       E、HOOK IAT     F、测试分析 A、认识IAT表 导入函数表 B、IAT表相关结构 PIMAGE_DOS_HEADER //->e_lfanew //PE文件头偏移值 PIMAGE_NT_HEADERS //->OptionalHeade...
用驱动遍历进程的IAT
Misaka10046的博客
05-02 301
WIN7 X86。
获取当前进程的IAT
小驹的专栏
06-14 1494
#include #include int main(int argc, char* argv[]) { HMODULE hModule = ::GetModuleHandleA(NULL); IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModule; IMAGE_OPTIONAL_HEADER* pOpNtHeader = (
Hook进程IAT
u011569253的博客
05-10 701
这两天研究下IAT表的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单的hook IAT表。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IAT在PE文件中的位置,当你有了这些知识之后就可以对IAT做hook了。这里我就不对IAT表做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
标题中的"HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点"提到了几个关键术语,包括"HOOK-IAT"、"IAT"、"iat hook"、"pe_iat"以及"入口点hook"。这些术语主要与Windows程序的动态链接和代码注入技术相关。...
IAT.rar_IAT_iat 注入
09-21
4. **注入代码**:创建或获取自定义函数的地址,将其写入目标进程的IAT,替换原有的函数地址。 5. **修复IAT**:由于Windows的安全机制,修改IAT后可能需要更新PE文件的某些头部信息,以确保系统能正确解析。 6. *...
汽车内外饰设计基础知识---IAT.pptx
09-26
汽车内外饰设计基础知识---IAT.pptx
PE文件之导入表
03-29
打印PE文件的导入表信息 vs2005编译通过;
PE中的import table/IAT 分析
热门推荐
panda1987的专栏
10-08 1万+
本文将通过一个实例说明PE结构中的import table及import address table(IAT). 在data directory中有两项:IMAGE_DIRECTORY_ENTRY_IMPORT(1)和IMAGE_DIRECTORY_ENTRY_IAT(12),IMAGE_DIRECTORY_ENTRY_IMPORT指向了该PE文件中所有的输入信息,而IMAGE_DIRECTORY_ENTRY_IAT指向了该PE文件中的导入地址表。现在不必关心这两个表的关系,在之后的分析中将渐渐明朗。如果用
滴水逆向三期实践16:IAT表和导入表
Rivival_S 的博客
11-09 3278
IAT表 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
PE文件的基本结构-2 NT头
zhangxinrun的专栏
08-24 1303
<br />1 PE文件头(NT文件头)<br />从DOS文件头的_lfanew字段(文件头偏移003ch)得到真正的PE文件头位置[$0000 0100]后,现在来看看它的定义,PE文件头是由IMAGE_NT_HEADERS结构定义的:<br />PImageNtHeaders = ^TImageNtHeaders;<br />_IMAGE_NT_HEADERS = packed record<br />    [$0100]Signature: DWORD;<br />    [$0104]FileH
PE文件结构详解(四)PE导入表
zdwcmy的专栏
06-17 491
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入表。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入表有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
导入表
qq_41232519的博客
09-05 575
文章目录一、 导入(出)表二、导入表三、导入表结构(20个字节)四、导入表名字 一、 导入(出)表 导入表在扩展PE头_IMAGE_DATA_DIRECTORY DataDirectory[16]中,每个结构体都是8个字节 二、导入表 IMAGE_DIRECTORY_ENTRY_IMPORT struct _IMAGE_DATA_DIRECTORY { 0x00 DWORD VirtualAddress; //导入表的地址 0x04 DWORD Size; //大小 }; 三、导入表结构(20个字
12.PE文件之导入表(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 6308
目录 导入表定位以及解析(手动FileBuffer) 导入表定位以及解析(手动ImageBuffer) 代码定位导入表并打印其数据 导入表注入 导入表是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入表数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE结构学习02-导出表
05-10 142
导出表: 上篇文章,我们学习了各种头,Dos,NT,节表头,我们知道,OptionalHeader指向的DataDirectory[]数组一共有16个: 我们接下来要学习的有: IMAGE_DIRECTORY_ENTRY_IMPORT 导入表 IMAGE_DIRECTORY_ENTRY_BASERELOC 基址重定位表 IMAGE_DIRECTORY_E...
定位IAT
06-17 1137
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。    1.简单方法:    直接通过以运行的exe文件来定位IAT      #include     #include void main()    {    HMODULE hMod = ::GetModuleHandle(NULL); //已运行的
2025-07-15 15:51:54.003 adapter-iat-new [main] INFO c.u.j.r.DefaultLazyPropertyResolver - Property Resolver custom Bean not found with name 'encryptablePropertyResolver'. Initializing Default Property Resolver 2025-07-15 15:51:54.003 adapter-iat-new [main] INFO c.u.j.d.DefaultLazyPropertyDetector - Property Detector custom Bean not found with name 'encryptablePropertyDetector'. Initializing Default Property Detector 2025-07-15 15:51:54.071 adapter-iat-new [main] ERROR c.i.a.p.a.c.m.DefaultEngineMonitor - engine-monitor.address is empty:
最新发布
07-16
4. **清理并重启**:执行`mvn clean`(或Gradle的clean)然后重新启动应用。 ### 示例配置结构 ```properties # application.properties # 如果使用加密,设置密码(建议通过环境变量传入) jasypt.encryptor...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值