PEView查看DLL延迟加载信息

最新推荐文章于 2021-09-15 09:16:15 发布
原创 最新推荐文章于 2021-09-15 09:16:15 发布 · 504 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PEView #DLL延迟加载 #DELAY IMPORT Descriptors #RVA #DELAY IMPORT DLL Names

本文详细介绍了DLL延迟加载技术的工作原理及其在VS2015中的应用,通过具体步骤展示了如何设置DLL延迟加载,以及如何使用PEView查看DLL延迟加载信息。

1 DLL延迟加载技术

在Windows中加载程序时,需要把该程序的代码和所需的DLL复制到内存空间中。如果所需的DLL不存在,则程序将会报错。如果程序所需的DLL比较多,则程序启动会消耗较多时间。可以采用DLL延迟加载技术减少程序启动时间。使用该技术的程序,在启动时无需加载所需DLL,在代码试图引用DLL中包含的一个符号时才将DLL加载。

2 VS2015设置DLL延迟加载

使用VS2015编写程序时,可以通过VS2015为该程序设置延迟加载的DLL。在VS2015中,选择菜单栏“项目->XXX属性”,之后在弹出的属性页左侧的“配置属性”中选择“链接器->输入”,之后在右侧的“延迟加载的DLL”中输入要延迟加载的DLL名,如图1所示。

图1 设置延迟加载的DLL

 

3 通过PEView查看延迟加载的DLL信息

在《基于PEview分析PE文件》中提到,PE文件的NT头包括Signatrue、IMAGE_FILE_HEADER和IMAGE_OPTIONAL_HEADER三部分。其中,IMAGE_OPTIONAL_HEADER中包含了16个Data Directory,其中第14个是“DELAY IMPORT Descriptors”,就是保存了延迟加载的DLL信息的地址,如图2所示。

图2 DELAY IMPORT Descriptors

 

从图2中可以看到,延迟加载的DLL信息保存在0x00B03000的地址当中,该地址为相对虚拟地址,即RVA。从PEView中可以看到,延迟加载的DLL信息实际上是保存在了“SECTION.didat”中的“DELAY IMPORT Descriptors”中。图3为RVA是0x00B03000中的内容。

图3 延迟加载DLL名字信息

从图3中可以看到 ,加载的DLL的名字信息保存在了RVA的0x00A7DBD0中。从PEView中可以看到,该RVA位于“SECTION.rdata”中的“DELAY IMPORT DLL Names”中,如图4所示。

图4 DELAY IMPORT DLL Names

 

[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
热门推荐
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
PEview.
08-03
PEview用于查看二进制软件或程序。非常方便
PEview。rar
05-24
PEview压缩包,可使用,解压后可使用,主要是加壳和脱壳
软件安全实验(一)PEVIEW-弹窗操作
m0_56043517的博客
09-15 1590
软件安全实验(一) 实验名称:软件安全-PEVIEW-弹窗操作 实验软件:WinHex , OllyDBG , LordPE , PEview 实验效果:双击PEview后产生弹窗 实验思路: 实验步骤: 1.打开LordPE 2.点击PE Editor 3.选择PEview打开,观察EntryPoint(入口点)和ImageBase(基地址) 得出原始入口点为401000 4.点...
神器PEview 妈妈再也不用担心我看dll和lib等库文件了
ericwuhk的专栏
01-18 6600
Step1:下载神器PEView0.99,评论后可以补回一个资源分; Step2:打开压缩包; Step3:打开你想内窥的文件,如lib、dll格式的; Step4:本人亲测dll 和lib格式可以完全暴露,看图
PE文件格式学习(十六):延迟加载表(DelayLoadImportDescriptors)
tutucoo
11-08 467
1.介绍 延迟加载表本质上跟绑定导入表的目的是一样的,都是为了加快程序加载文件的速度,只不过方法不一样。 延迟加载是指在调用某个DLL时才去加载,目的是为了避免在程序启动之初就加载了不必要的DLL而浪费了时间。微软建议在两种情况下使用延迟加载: 程序并非在启动时就会调用DLL里面的函数 程序未必会调用该DLL里面的函数 延迟加载表不是系统支持的一个特性,它是由编译器控制的。 2.分析 我们还是...
PEview 0.99:便捷的32位PE/COFF文件查看
PE文件结构允许操作系统在加载程序时读取这些信息,并据此将程序正确地加载到内存中。 2. COFF(Common Object File Format)文件格式:这是一个用于编译器生成的目标文件(.obj)或库文件(.lib)的通用格式。它...
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
【PE重定位表深度解析】:2个技巧处理加载时地址变动
本文首先介绍了PE重定位表的基本概念和工作原理,详细解析了在PE文件加载过程中地址变动的分析,区分了基址重定位与高低位重定位的不同应用场景。接着,本文探讨了处理PE重定位表的实践技巧,包括使用工具进行分析与...
PEview.exe
05-21
PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构和内容,提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题,章节,目录,导入表,导出表,内部信息和资源的EXE,DLL,OBJ,LIB,DBG,和其他文件类型。
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
PEview(Windows).zip
08-13
中文版的-------------查看dll和lib等库文件,peview.exe工具是一款可以进行PE文件解析的强大PE文件解析工具,如果想进行pe文件解析不如下载这款最为方便并强大的peview.exe文件
PEview.zip
03-10
用这个工具能容易看得到PE文件的详细结构 绝对货真价实,假一赔十
peview.exe
12-27
一款可以用来查看pe的工具,可以在windows 下查看pe
程序启动时 加载哪些dll_您如何确定程序在启动时完全加载所需的时间?
culunyi0802的博客
09-06 378
程序启动时 加载哪些dllThere are few things as frustrating as turning your computer on and having it take forever to fully load up, so how do you find out which programs are slowing everything down? With that g...
PEview查看
nkly的博客
02-27 538
大佬谁能分享个PEview查看器啊,网上下了几个都不好用啊。
PEviewer.zipPEviewPEview
08-04
PEviewPEviewPEviewPEviewPEview
C/C++ PeView 结构解析器
LYSHARK
07-19 8427
前段时间推出过一款PETools命令行版本的PE文件解析器,由于命令行参数较多且每次输出文件都要重新读取一遍效率较低,故今天我终于抽出时间来继续完善这个小工具,由于PETools工具与其他工具重名,故本次更名为PEView,且使用了交互式结构解析,让解析结果更加清晰,在使用上更加的易用,同时默认支持上下箭头查询历史命令,非常方便。【GetHexAscii】这是一个独立模块,可以独立使用,通常传入的是文件路劲,文件偏移,以及读取大小,即可实现文件的十六进制读取展示。【add/sub】简单的十六进制计算器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值