定位IAT并输出导入函数名称和对应的函数地址

最新推荐文章于 2024-10-04 15:40:30 发布
原创 最新推荐文章于 2024-10-04 15:40:30 发布 · 754 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#descriptor #image #header #import #byte #dos

 1 #include  < stdio.h >
 2 #include  < windows.h >
 3
 4 void  main()
  5 {
  6 // 取得主模块的模块句柄(即进程模块基地址)
 7 HMODULE hMod  =  GetModuleHandle(NULL);
  8
 9 // 把进程基址赋给pDosHeader,即起始基址就是PE的IMAGE_DOS_HEADER
10 IMAGE_DOS_HEADER *  pDosHeader  =  (IMAGE_DOS_HEADER * )hMod;
 11
12 // 定位到PE HEADER
 13 // 基址hMod加上IMAGE_DOS_HEADER结构的e_lfanew成员到达IMAGE_NT_HEADERS
 14 // NT文件头的前4字节是文件签名("PE00" 字符串),然后是20字节的IMAGE_FILE_HEADER结构
 15 // 即到达IMAGE_OPTIONAL_HEADER结构的地址,获取了一个指向IMAGE_OPTIONAL_HEADER结构体的指针
16 IMAGE_OPTIONAL_HEADER  *  pOptHeader  =
17 (IMAGE_OPTIONAL_HEADER  * )((BYTE * )hMod  +  pDosHeader -> e_lfanew  +   24 );
 18
19 // 定位到导入表
 20 // 通过IMAGE_OPTIONAL_HEADER结构中的DataDirectory结构数组中的第二个成员中的
 21 // VirturalAddress字段定位到IMAGE_IMPORT_DESCRIPTOR结构的起始地址
 22 // 即获得导入表中第一个IMAGE_IMPORT_DESCRIPTOR结构的指针(导入表首地址)
23 IMAGE_IMPORT_DESCRIPTOR *  pImportDesc  =  (IMAGE_IMPORT_DESCRIPTOR * )
 24 ((BYTE * )hMod  +  pOptHeader -> DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
 25
26 while (pImportDesc -> FirstThunk)
 27 {
 28 // 遍历结构的OriginalFirstThunk字段所指向的IMAGE_IMPORT_BY_NAME结构得到导出函数名
 29 // 遍历IMAGE_IMPORT_DESCRIPTOR结构的FirstThunk数组得到每个函数的地址
 30
31 // 导出模块的名称
32 char *  pszDllName  =  ( char * )((BYTE * )hMod  + pImportDesc -> Name);
 33 printf( " /n模块名称:%s /n " , pszDllName);
 34
35 //  一个IMAGE_THUNK_DATA就是一个双字,它指定了一个导入函数
36 IMAGE_THUNK_DATA *  pThunk  =  (IMAGE_THUNK_DATA * )
 37 ((BYTE * )hMod  +  pImportDesc -> OriginalFirstThunk);
 38 int  n  =   0 ;
 39 while (pThunk -> u1.Function)
 40 {
 41 //  取得函数名称。hint/name表前两个字节是函数的序号,后4个字节是函数名称字符串的地址
42 char *  pszFunName  =  ( char * )
 43 ((BYTE * )hMod  +  (DWORD)pThunk -> u1.AddressOfData  +   2 );
 44 //  取得函数地址。IAT表就是一个DWORD类型的数组,每个成员记录一个函数的地址
45 PDWORD lpAddr  =  (DWORD * )((BYTE * )hMod  +  pImportDesc -> FirstThunk)  +  n;
 46
47 //  打印出函数名称和地址
48 printf( "    从此模块导入的函数:%-25s, " , pszFunName);
 49 printf( " 函数地址:%X /n " , lpAddr);
 50 n ++ ; pThunk ++ ;
 51 }
52
53 pImportDesc ++ ;
 54 }
55 MessageBox(NULL, " Test " , " Test " , 0 );
 56 }
C++ DLL导出时变量与函数的区别:IAT导入地址
新兴IT民工的专栏
03-27 178
DLL编程中的IAT导入地址
IMAGE_IMPORT_DESCRIPTOR结构
gold0523的专栏
08-13 5470
IMAGE_IMPORT_DESCRIPTOR结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR {   DWORD    OriginalFirstThunk; DWORD    TimeDateStamp;
PE文件详解(六)
liang5603的专栏
10-13 388
这篇文章转载自小甲鱼的PE文件详解系列原文传送门  之前简单提了一下节表数据目录表,那么他们有什么区别?  其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录表进行索引通过节表进行索引都是可以找到的,也可以这么说,同一个数据在节表数据目录表中都有一份索引值,那么这两个表有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属...
导入表结构复习 导入模块,函数名称,地址遍历
Catch me if you can
05-03 2200
关于PE结构导入表,以前只是手动分析,没有通过编程来实现。而且PE文件结构,不巩固的话,一段时间之后就会忘记,所以记录下这次试验,为IAT挂钩做好准备,也算是复习一下。测试环境:windows xp sp3
IAT导入函数地址表 | IT导入
VI___
10-18 2225
之前对 IAT 的理解一直比较模糊,现在通过一个简单脱壳来梳理一下。 一、场景 用到的两个素材如下,一个没壳,一个有UPX壳。 首先在Crackme中查看MessageBoxA函数的入口地址,不同系统不同版本可能地址不一样,这个程序在我电脑上运行正常,可能在别的电脑上就会出错,为了解决这个兼容问题,IAT导入函数地址表)就诞生了。 二、栗子 在OD中右键查看所有模块间...
IAT HOOK及遍历IAT
哈尔滨-猫猫
01-03 953
// ConsoleApplication2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include // 定义MessageBoxA函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType); int W
定位IAT
06-17 1134
定位IAT可根据读取exe的方法分为两类:pe装载器以装载的exe文件/通过内存映射方法读取exe文件。    1.简单方法:    直接通过以运行的exe文件来定位IAT      #include     #include void main()    {    HMODULE hMod = ::GetModuleHandle(NULL); //已运行的
导出函数
free__eagle的专栏
06-23 187
下面的函数,只需要传递要下载数据的grid即可 此函数下载grid的数据时,如果grid中某些字段被隐藏,则不会下载 因此,可以让用户自定义下载时需要的列 提供给楼主参考一下 注意:要允许ACTIVEX控件的运行,要不EXCEL无法打开,就不行了. //--------------------------------------------------------------- /...
精选_根据PE文件格式从导入表中获取加载的DLL遍历导入函数名地址_源码打包
03-09
标题中的“精选_根据PE文件格式从导入表中获取加载的DLL遍历导入函数名地址_源码打包”表明这是一个关于解析PE(Portable Executable)文件格式的编程实践,特别是关注如何从PE文件的导入表中提取DLL(动态...
《Windows PE》4.1.3 IAT函数地址
最新发布
bcdaren的博客
10-04 1060
如果导入表描述符的TimeDateStampForwarderChain字段是一个特殊的标志值,如0xFFFFFFFF,表示导入函数已绑定,则IAT函数地址表中存储的是真实的导入函数地址。在程序加载时,操作系统会根据导入描述符中的INT表IAT表进行动态链接,将导入函数的实际入口地址填充到IAT表中的函数指针对应的位置。IAT表就是用来存储这些实际的函数入口地址。首先找到数据目录项的第12项,获取IAT函数地址表的RVA地址,加上基址后,得到输出加载到内存中的IAT函数地址表的VA地址
解析WINCE程序IAT:自制工具查看导入函数名
为了解决这一问题,有开发者编写了一个工具,能够根据导入函数的Original输出对应的人类可读的函数名。 **工具原理** 该工具可能依赖于Windows平台下的一些基础库如`dbghelp.dll`,它提供了符号处理功能,能够将...
(转)替换 IAT 中的导入函数地址实现 Hook API
05-27
在标题描述中提到的替换 IAT 中的导入函数地址,就是一种 Hook API 的方法。具体步骤如下: 1. **获取模块句柄**:首先,需要获取目标模块的句柄,例如 `GetModuleHandle(NULL)` 会返回当前进程的主模块句柄,...
获取IAT里的函数地址修改
stonesharp的专栏
07-15 7721
/* 1 */HANDLE hCurrent = GetModuleHandle(NULL);/* 2 */IMAGE_DOS_HEADER *pidh;/* 3 */IMAGE_NT_HEADERS *pinh;/* 4 */IMAGE_DATA_DIRECTORY *pSym
导入表内注入代码(一)
domisou
09-23 2124
 导入表内注入代码(一)作者: Ashkbiz Danehkar翻译:小刀人原文出处下载源代码(包括:itview.zip (87.1 KB) pemaker6.zip (96.6 KB) pemaker7.zip (193 KB)zimport.zip (130 KB)。译注:本文代码可在VS2003及WINDOWSXP+sp2下正常运行,Windows2000下ITview功能
Windbg查看函数的参数
aoebug的博客
07-22 9251
用Windbg挂载到notepad.exe中,在CreateFile函数上下断点 0:001> bp kernel32!CreateFileW 0:001> bp kernel32!CreateFileA 在notepad上选择保存,Windbg停止在CreateFileW的入口点 Breakpoint 1 hit eax=00000000 ebx=00000001 ecx=0007
滴水逆向三期实践16:IAT导入
Rivival_S 的博客
11-09 3215
IAT表 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值