定位IAT

最新推荐文章于 2023-04-01 21:14:33 发布
原创 最新推荐文章于 2023-04-01 21:14:33 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#image #descriptor #header #byte #import #dos

本文介绍两种定位导入地址表(IAT)的方法:一是直接利用运行中的EXE文件;二是通过内存映射文件读取EXE文件。文章提供了详细的C/C++代码示例,包括如何解析PE文件结构以获取IAT中的导入函数。 
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。

    1.简单方法:
    直接通过以运行的exe文件来定位IAT

      #include <stdio.h>
    #include <windows.h>

void main()    
{
    HMODULE hMod = ::GetModuleHandle(NULL); //已运行的exe文件在内存中的基地址 为一般0x400000h
                                                                              //,也就是通常所说的IMAGEBASE


    IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hMod;
    IMAGE_OPTIONAL_HEADER * pOptHeader =
        (IMAGE_OPTIONAL_HEADER *)((BYTE*)hMod + pDosHeader->e_lfanew + 24); 

    IMAGE_IMPORT_DESCRIPTOR* pImportDesc = (IMAGE_IMPORT_DESCRIPTOR*)
        ((BYTE*)hMod + pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress/*RVA值*/);

    while(pImportDesc->FirstThunk)
    {
        char* pszDllName = (char*)((BYTE*)hMod +pImportDesc->Name/*RVA值*/);
        printf("/n模块名称:%s /n", pszDllName);
    
        
        // 一个IMAGE_THUNK_DATA就是一个双字,它指定了一个导入函数
        IMAGE_THUNK_DATA* pThunk = (IMAGE_THUNK_DATA*)
            ((BYTE*)hMod + pImportDesc->OriginalFirstThunk);
        int n = 0;
        while(pThunk->u1.Function)
        {
            // 取得函数名称。hint/name表前两个字节是函数的序号,后4个字节是函数名称字符串的地址
            char* pszFunName = (char*)
                ((BYTE*)hMod + (DWORD)pThunk->u1.AddressOfData + 2);
            // 取得函数地址。IAT表就是一个DWORD类型的数组,每个成员记录一个函数的地址
            PDWORD lpAddr = (DWORD*)((BYTE*)hMod + pImportDesc->FirstThunk) + n;//RVA+ImageBase

            // 打印出函数名称和地址
            printf(" 从此模块导入的函数:%-25s,", pszFunName);
            printf("函数地址:%X /n", lpAddr);
            n++; pThunk++; //指向下一个FirstThunk结构
        }
        
        pImportDesc++;//下一个导入表descriptor,也就是在本进程载入的下一个dll文件中查找
    }
}


2.通过内存映射文件读取exe文件来到处IAT

先转载一下别人提供的代码,
#include "stdafx.h"
#include <stdio.h>
#include <windows.h>

DWORD RVAToOffset(LPVOID lpBase,DWORD VirtualAddress)
{
    IMAGE_DOS_HEADER *dosHeader;
    IMAGE_NT_HEADERS *ntHeader;
    IMAGE_SECTION_HEADER *SectionHeader;
    int NumOfSections;
    dosHeader=(IMAGE_DOS_HEADER*)lpBase;
    ntHeader=(IMAGE_NT_HEADERS*)((BYTE*)lpBase+dosHeader->e_lfanew);
    NumOfSections=ntHeader->FileHeader.NumberOfSections;
    for (int i=0;i<NumOfSections;i++)
    {
        SectionHeader=(IMAGE_SECTION_HEADER*)((BYTE*)lpBase+dosHeader->e_lfanew+sizeof(IMAGE_NT_HEADERS))+i;
        if(VirtualAddress>SectionHeader->VirtualAddress&&VirtualAddress<SectionHeader->VirtualAddress+SectionHeader->SizeOfRawData)
        {
            DWORD AposRAV=VirtualAddress-SectionHeader->VirtualAddress;
            DWORD Offset=SectionHeader->PointerToRawData+AposRAV;
            return Offset;
        }
    }
    return 0;
}

int main(int argc, char* argv[])
{
    //打开文件
    HANDLE hFile=CreateFile(argv[1],GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
    if(hFile==INVALID_HANDLE_VALUE)
    {
        printf("CreateFile Failed/n");
        return 0;
    }
    //创建内存映射文件的内核对象
    HANDLE hMap=CreateFileMapping(hFile,NULL,PAGE_READONLY,NULL,NULL,NULL);
    if(hMap==INVALID_HANDLE_VALUE)
    {
        printf("CreateFileMapping Failed/n");
        return 0;
    }
    //把文件映射入内存
    LPVOID lpBase=MapViewOfFile(hMap,FILE_MAP_READ,0,0,0);
    if(lpBase==NULL)
    {
        printf("MapViewOfFile Failed/n");
        return 0;    
    }
    IMAGE_DOS_HEADER *dosHeader;
    IMAGE_NT_HEADERS *ntHeader;
    IMAGE_IMPORT_BY_NAME *ImportName;
    //lpBase由MapViewOfFile函数返回
    dosHeader=(IMAGE_DOS_HEADER*)lpBase;
    //检测是否是有效的PE文件
    if (dosHeader->e_magic!=IMAGE_DOS_SIGNATURE)
    {
        printf("This is not a windows file/n");
        return 0;
    }
    //定位到PE header
    ntHeader=(IMAGE_NT_HEADERS*)((BYTE*)lpBase+dosHeader->e_lfanew);
    if(ntHeader->Signature!=IMAGE_NT_SIGNATURE)
    {
        printf("This is not a win32 file/n");
        return 0;
    }
    //定位到导入表
    IMAGE_IMPORT_DESCRIPTOR *ImportDec=(IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)lpBase+RVAToOffset(lpBase,ntHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress));
    while(ImportDec->FirstThunk)
    {
        //得到DLL文件名
        char *pDllName=(char*)((BYTE*)lpBase+RVAToOffset(lpBase,ImportDec->Name));
        printf("/nDLL文件名:%s/n",pDllName);
        //通过OriginalFirstThunk定位到PIMAGE_THUNK_DATA结构数组
        PIMAGE_THUNK_DATA pThunk=(PIMAGE_THUNK_DATA)((BYTE*)lpBase+RVAToOffset(lpBase,ImportDec->OriginalFirstThunk));
        while(pThunk->u1.Function)
        {
            //判断函数是用函数名导入的还是序号导入的
            if(pThunk->u1.Ordinal& IMAGE_ORDINAL_FLAG32)
            {
                //输出序号
                printf("从此DLL模块导出的函数的序号:%x/n",pThunk->u1.Ordinal&0xFFFF);
            }
            else
            {
                //得到IMAGE_IMPORT_BY_NAME结构中的函数名
                ImportName=(IMAGE_IMPORT_BY_NAME*)((BYTE*)lpBase+RVAToOffset(lpBase,(DWORD)pThunk->u1.AddressOfData));
                printf("从此DLL模块导出的函数的函数名:%s/n",ImportName->Name);
            }
            pThunk++;
        }
        ImportDec++;
    }
    UnmapViewOfFile(lpBase);
    CloseHandle(hMap);
    CloseHandle(hFile);
    return 0;
}
Win7手工查找notepad.exe的IAT
h123120的专栏
04-05 1116
      最近在学习《逆向工程核心原理》,文中在WinXp下查看了一步一步手工查找了notepad.exe的IAT,所以我想试试能否在Win7下也完成分析,看看系统版本迭代升级之后PE header和PE body有些什么变化。一、相关事项(一)OS版本:Microsoft Windows 7 旗舰版  6.1.7601 Service Pack 1 Build 7601(二)分析对象系统指导n...
滴水逆向三期实践16:IAT表和导入表
Rivival_S 的博客
11-09 3375
IAT表 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
(5) 定位IAT
eldn__的专栏
10-03 1476
一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话看其他的地址就知道了,一般就是100000)跟随。 5,上下查看有函数的起始和终止地址
定位IAT
jyw1111的专栏
09-21 860
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。     1.简单方法:     直接通过以运行的exe文件来定位IAT       #include     #include void main()    {     HMODULE hMod = ::GetModuleHandle(NULL); //已运行的exe文件在内存中的
第八课 定位IAT
weixin_30662011的博客
08-28 202
定位IAT 一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话...
OD使用之查找 API的方法
nethm的专栏
09-26 9734
一    反汇编窗口,右键--查找--当前模块中的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
定位IAT并输出导入函数名称和对应的函数地址
lapcca的专栏
08-23 764
 1 #include   2 #include   3  4 void  main()  5
IAT.rar_IAT_iat 注入
09-21
2. **找到IAT**:在PE文件的内存映像中定位IAT,找到待注入函数的入口点。 3. **备份原始IAT**:为了安全和可恢复性,通常需要备份原始的IAT,以防注入失败或需要恢复原状。 4. **注入代码**:创建或获取自定义...
HOOK-IAT.rar_IAT_iat hook_pe iat_pe 入口点hook_入口点
09-24
为了深入理解这个主题,你可以查看这些文件,了解实际操作过程,包括如何定位IAT、修改IAT条目以及如何安全地恢复原始入口点,以避免破坏目标程序。 总的来说,"HOOK-IAT.rar"可能是一个关于PE文件分析和IAT Hook...
SE2.40 IAT修复v2.0,此脚本可修复散列IAT
03-16
总的来说,SE2.40 IAT修复v2.0是一个针对特定版本(SE2.40)的IAT修复工具,利用散列技术来定位和修复受损的导入地址表,以保证软件的正常运行。这个工具是开源的,意味着开发人员和高级用户可以深入研究其工作原理...
iat输入表hook的源码
09-14
- **定位IAT**:首先,我们需要找到目标函数所在的模块(DLL)的IAT,这通常通过解析PE文件结构来完成。 - **找到目标函数**:在IAT查找目标函数的入口,这涉及到解析IAT条目和对应的函数名。 - **备份原始地址...
C++基于hook iat改变Messagebox实例
09-04
实现Hook的关键在于正确定位IAT中的函数地址,并安全地写入新地址。在提供的代码片段中,`SetHook`函数完成了这一过程。它首先获取当前进程的模块句柄,然后通过DOS头和NT头找到IAT,遍历IAT直到找到`user32.dll`和...
Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
逆向随笔
12-27 1989
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
C/C++ 导入表与IAT内存修正
优快云
09-17 8436
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修复等。关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点让其暂停在OEP位置,此时程序已经在内存解码,同时也可以获取到程序的OEP位置,转储就是将程序原封不动的读取出来并放入临时空间中,然后对空间中的节表和OEP以及内存对齐进行修正,最后将此文件在内存保存出来即可。
加壳器的编写
dohxxx的博客
03-25 2693
加壳器的编写 加壳器主要分为两个部分: 编写一个加壳器: 1.写一个加壳器,首先是要可以打开一个文件,如果一个文件都打不开,谈什么加壳。 ​1.1打开一个文件需要用GreateFileA 这个API。 1.2关闭一个文件,GloseHandle 。 2,写完一个壳,需要保存到一个路径中。 ​2.1将文件保存到制定路径中 2.2 获取文件内容和大小 3.需要释放文件内容 获取文件之后,就是...
VMP (VMProtect)脱壳
zhw309的专栏
09-04 2万+
VMP脱壳 VMProtect 脚本
导入表解析,IAT表解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 1195
我们再上一章节简要介绍了IAT表,我们知道如果程序调用dll中的函数时,必须通过IAT表来找到函数,我们基本了解了IAT表之后,我们今天来讲解一下导入表,通过本章节的学习,我们可以了解导入表,也能对IAT表有一个更深入的了解。
PE中的import table/IAT 分析
panda1987的专栏
10-08 1万+
本文将通过一个实例说明PE结构中的import table及import address table(IAT). 在data directory中有两项:IMAGE_DIRECTORY_ENTRY_IMPORT(1)和IMAGE_DIRECTORY_ENTRY_IAT(12),IMAGE_DIRECTORY_ENTRY_IMPORT指向了该PE文件中所有的输入信息,而IMAGE_DIRECTORY_ENTRY_IAT指向了该PE文件中的导入地址表。现在不必关心这两个表的关系,在之后的分析中将渐渐明朗。如果用
PE文件结构详解(四)PE导入表
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入表有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORTIMAGE_DIRECTORY_ENTRY_BOUND_IMPORTIMAGE_DIRECTORY_ENTRY_IATIMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
API HOOK IAT技术深入解析与应用实例
2. 定位IAT:在PE文件的节表中,通常有一个名为".idata"的节,该节中保存了IAT和导出表(Export Table)。需要找到IAT的位置,它通常位于.idata节内。 3. 查找API函数:要钩住某个API函数,首先需要知道该函数在DLL...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值