MemoryModule阅读与PE文件解析(二)---导入表

最新推荐文章于 2024-09-03 08:45:14 发布
最新推荐文章于 2024-09-03 08:45:14 发布
阅读量882 收藏
点赞数 1
分类专栏: 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_18218335/article/details/68486518
版权

MemoryModule阅读与PE解析(二)---导入表

首先来了解导入表的概念

头文件:

#ifndef DLL_FUC

#define DLL_FUC extern"C" __declspec(dllimport)

#endif

实现:这里函数只是简单的输出 HelloA

 

void HelloExprotFunctionA()

{

    printf("HelloA\n");

}

 

使用:

#include "../x86Dll/x86Dll.h"

#pragma comment(lib,"../debug/x86Dll.lib")

HelloExprotFunctionA();

 

我们调试反汇编发现,其调用指向内存0x00318378 内存位置的内容,即地址0x52D013A0h,F11进去之后发现确实跳转到了该地址,该地址即为HelloExprotFunctionA函数的地址。

使用ProcessHacker得到进程模块基地址如下:

由此算到上面的那个内存地址0xC83788的RVA为:0x18378

使用CFF Explorer 打开exe 然后查看RVA 对应内容发现:

保存的是一个RVA,得到了导入函数名,后面还有模块名称

 

我们发现exe文件中并没有HelloExprotFunctionA函数的地址,该位置出存储的仅仅是一个结构的地址而已,然而当程序运行起来之后,其存储的值为函数的地址,请看下图

图片来源:http://blog.youkuaiyun.com/evileagle/article/details/12357155

导入表中有一个成员FirstThunk指向IAT结构,在PE加载入内存之前,其值与OriginalFirstThunk相同,指向一个结构体,在PE被加载之后,FirstThunk 中的内容变为函数的真实地址,在其函数中对于导入函数的引用就是取的导入表中对应位置的地址,然后跳转到目标函数运行。

我们来看call 指令的地址,计算得到其RVA后在exe 中查看其内容如下:

我们发现其存储的就是一个绝对地址,而这个地址在exe 初始化的时候由于上一节提到的修正了重定向项,其值变为真实的IAT 对应的项的地址。

PE 未加载时,该函数引用的是一个VA----其刚好对应于IAT 中对应项的RVA。这样,我们就明白了PE 文件引用外部函数的过程,导入表的修订,就是将IAT中的对应的项的地址修正为所要引用的函数的真实地址即可,所谓的对应,就是与上图中函数编号-函数名的结构体对应,根据该结构体来获得PE引用的外部函数的(DLL 名称,函数名称)来得到对应的函数地址,然后填充IAT中对应的项即可

简单介绍相关结构:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

    union {

        DWORD   Characteristics;     // 0 forterminating null import descriptor

        DWORD   OriginalFirstThunk;// PIMAGE_THUNK_DATA结构的其实RVA,为0表示结束

    } DUMMYUNIONNAME;

    DWORD   TimeDateStamp;                 //0 如果没有绑定

                                            // -1 绑定

                                            // O.W. date/time stamp of DLL bound to (Old BIND)

 

    DWORD   ForwarderChain;                 //-1 if no forwarders

    DWORD   Name;                           // DLL 名称

    DWORD   FirstThunk;                     //IAT的RVA

}IMAGE_IMPORT_DESCRIPTOR;

 

typedef struct _IMAGE_THUNK_DATA32 {

    union {

        DWORDForwarderString;      // PBYTE

        DWORD Function;            //PDWORD

        DWORDOrdinal;

        DWORDAddressOfData;        // PIMAGE_IMPORT_BY_NAME

    } u1;

}IMAGE_THUNK_DATA32;

typedef IMAGE_THUNK_DATA32* PIMAGE_THUNK_DATA32;

这里存储的是DLL 的名称和序号,所谓需要就是DLL 中导出函数的一个序号,一般不用

typedef struct_IMAGE_IMPORT_BY_NAME{

    WORD    Hint;

    BYTE    Name[1];

} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

下面来看修正导入表的函数

static BOOL

BuildImportTable(PMEMORYMODULEmodule)

{

   unsigned char *codeBase = module->codeBase;

   PIMAGE_IMPORT_DESCRIPTOR importDesc;

   BOOL result = TRUE;

 

   PIMAGE_DATA_DIRECTORY directory =GET_HEADER_DICTIONARY(module,IMAGE_DIRECTORY_ENTRY_IMPORT);

   if (directory->Size == 0) {

       return TRUE;

   }

 

   importDesc = (PIMAGE_IMPORT_DESCRIPTOR) (codeBase + directory->VirtualAddress);

   for (; !IsBadReadPtr(importDesc,sizeof(IMAGE_IMPORT_DESCRIPTOR)) && importDesc->Name; importDesc++) {

       uintptr_t *thunkRef;

       FARPROC *funcRef;

       HCUSTOMMODULE *tmp;

       HCUSTOMMODULE handle = module->loadLibrary((LPCSTR) (codeBase +importDesc->Name),module->userdata);

       if (handle == NULL) {

            SetLastError(ERROR_MOD_NOT_FOUND);

            result = FALSE;

            break;

       }

 

       tmp = (HCUSTOMMODULE *) realloc(module->modules, (module->numModules+1)*(sizeof(HCUSTOMMODULE)));

       if (tmp == NULL) {

            module->freeLibrary(handle,module->userdata);

            SetLastError(ERROR_OUTOFMEMORY);

            result = FALSE;

            break;

       }

       module->modules = tmp;

 

       module->modules[module->numModules++] = handle;

       if (importDesc->OriginalFirstThunk) {

            thunkRef = (uintptr_t *) (codeBase +importDesc->OriginalFirstThunk);

            funcRef = (FARPROC *) (codeBase +importDesc->FirstThunk);

       } else {

            // no hint table

            thunkRef = (uintptr_t *) (codeBase +importDesc->FirstThunk);

            funcRef = (FARPROC *) (codeBase +importDesc->FirstThunk);

       }

       for (; *thunkRef; thunkRef++, funcRef++) {

            if (IMAGE_SNAP_BY_ORDINAL(*thunkRef)) {

                *funcRef = module->getProcAddress(handle,(LPCSTR)IMAGE_ORDINAL(*thunkRef),module->userdata);

            } else {

                PIMAGE_IMPORT_BY_NAME thunkData = (PIMAGE_IMPORT_BY_NAME) (codeBase + (*thunkRef));

                *funcRef = module->getProcAddress(handle,(LPCSTR)&thunkData->Name,module->userdata);

            }

            if (*funcRef == 0) {

                result = FALSE;

                break;

            }

       }

       if (!result) {

            module->freeLibrary(handle,module->userdata);

            SetLastError(ERROR_PROC_NOT_FOUND);

            break;

       }

   }

 

   return result;

}

IMAGE_SNAP_BY_ORDINAL 宏用于判断当前的导入函数是否是按照序号导入的,如果是的话,下面的宏IMAGE_ORDINAL用于取出序号。

#define IMAGE_ORDINAL_FLAG32 0x80000000

#define IMAGE_SNAP_BY_ORDINAL32(Ordinal) ((Ordinal &IMAGE_ORDINAL_FLAG32) != 0)

如果最高位为1,表示按照序号导入

#define IMAGE_ORDINAL32(Ordinal) (Ordinal & 0xffff)

表示取低四字节来表示序号。

 

然后导入表的修正已经结束了,剩下的一节介绍剩余知识。

08Go内存模型Memory module
YouSec995 的博客
04-27 368
Memory module https://golang.org/ref/mem 如何保证在一个 goroutine 中看到在另一个 goroutine 修改的变量的值,如果程序中修改数据时有其他 goroutine 同时读取,那么必须将读取串行化。为了串行化访问,请使用 channel 或其他同步原语,例如 sync 和 sync/atomic 来保护数据。 Happen-Before 在一个 goroutine 中,读和写一定是按照程序中的顺序执行的。即编译器和处理器只有在不会改变这个 goroutin
MemoryModule阅读PE文件解析(五)----导出
商少
04-06 916
上一篇我们介绍了TLS。 下面来看关于函数入口函数:   // get entry point of loaded library    if(result->headers->OptionalHeader.AddressOfEntryPoint != 0) {        if (result->isDLL) {             DllEntryProc DllEntry
MemoryModule0.0.4
03-26
从内存装载DLL,支持64位DLL,是MemoryModule最新版本,亲测可用
MemoryModule阅读PE文件解析(三)
商少
04-04 915
前面我们提到一个函数 CopySections ,该函数将文件中的段拷贝到我们申请的内存中,并按照内存页面的大小进行对齐。拷贝过程中设置了每个段的PhysicalAddress的值为该段的虚拟地址,用于后面的操作。 要理解这个段,首先应该理解_IMAGE_SECTION_HEADER 中  的联合体 union {             DWORD   PhysicalAddress;
MemoryModule阅读PE文件解析(一)
商少
10-25 3536
参考链接https://github.com/fancycode/MemoryModule本文阅读github 上MemoryModule 代码的同时,介绍PE 文件相关的基础知识。      该项目实现“手动加载DLL”即“实现了自己的LoadLibrary函数”,将DLL 加载到内存中,然后进行常规的DLL 操作。 函数第一步,通过调用LoadLibrary 函数加载DLL 并进行一些常规的
MemoryModule-0_0_4.zip_DllLoader_64_MemoryModule 0.0.4_MemoryMod
07-15
一个支持64位的内存加载dll源码,公开版。
MemoryModule-master.rar
10-22
在本项目"MemoryModule-master"中,我们主要探讨的是如何实现内存注入DLL以及常规的DLL加载方法。下面将详细阐述这两个主题。 一、内存注入DLL 内存注入是一种技术,允许程序在其他正在运行的进程上下文中执行代码...
MemoryModule-master.zip
07-08
"MemoryModule-master.zip"是一个包含此类技术相关代码和资源的压缩包。 首先,我们需要了解DLL的基本概念。DLL是一种可重用的代码库,它包含一组函数和资源,可供多个应用程序同时使用,以节省内存和磁盘空间。在...
MemoryModule-master:实现DLL文件的内存加载技术
在这个上下文中,“MemoryModule-master”可能是一个开源项目,一个库或者一组函数,允许开发者通过编程方式将DLL文件加载到内存中,而不是到传统的文件系统路径中。 使用内存加载DLL的优点包括: - 更高的安全性和...
Python库 | pymemorymodule-0.1.0-cp34-cp34m-win32.whl
02-27
python库。 资源全名:pymemorymodule-0.1.0-cp34-cp34m-win32.whl
go-MemoryModule:转到MemoryModule的绑定示例
05-01
go-MemoryModule 转到MemoryModule的绑定示例 构建内存模块和Go的64位版本。 已在Ubuntu 14.04 LTS上测试。 安装所需的软件包: sudo apt-get install cmake sudo apt-get install golang-go-linux-386 golang-go-windows-386 golang-go-windows-amd64 sudo apt-get install g++-mingw-w64-x86-64 g++-mingw-w64-i686 gcc-mingw-w64-i686 gcc-mingw-w64-x86-64 从此特定分支克隆(直到接受拉取请求): cd /source git clone -b fix-deprecated-wcsnicmp https://github.com/kost/Mem
MemoryModule windows 下内存加载动态库的源代码
05-25
windows 下在内存中加载动态库实现的源代码 MemoryModule
推荐 MemoryModule - 完全自定义的内存模块!
gitblog_00001的博客
03-07 491
推荐 MemoryModule - 完全自定义的内存模块! MemoryModuleLibrary to load a DLL from memory.项目地址:https://gitcode.com/gh_mirrors/me/MemoryModule MemoryModule 是一个开源的内存模块工具,它允许开发者完全自定义内存管理模块,从而更好地满足特定场景下的性能需求。 MemoryMo...
开源项目推荐:MemoryModule
$firecat利白的代码足迹$
05-06 1093
Library to load a DLL from memory. https://github.com/fancycode/MemoryModule https://www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/ 思路:把dll文件放到exe的资源文件里,使用MemoryModule加载到内存,远程注入到其他软件的进程里,注射完exe关闭,这样本地和其他软件的进程中就不会查到dll,从而做到隐藏运行。 在VS2015中把D.
MemoryModule: 更好的内存管理工具
gitblog_00006的博客
03-05 576
MemoryModule: 更好的内存管理工具 MemoryModule 是一个轻量级的库,旨在提供更好的内存管理和分析能力。它允许程序员更方便地进行内存分配、释放和检查,从而提高程序的稳定性和效率。 使用场景 MemoryModule 可以用于各种需要进行内存管理的场合。例如: 在开发过程中,可以通过 MemoryModule 进行内存泄露检测。 在优化代码性能时,可以使用 MemoryMod...
Intel Optane DC Persistent Memory Module (PMM)详解
热门推荐
SweeNeil
04-29 1万+
英特尔对外公开提出Optane DC Persistent Memory Module已经快一年的时间了,这个介于SSD和DRAM之间的新层级对于数据中心有很大的好处。 持久内存的目标始终是将更多数据移近CPU,提供类似DRAM的延迟,同时也具有类似存储设备的持久性和容量。 经过一年的时间听取硬件和软件合作伙伴谈论持久内存的好处,现在,随着第代英特尔至强可扩展处理器的发布,Optane DC ...
MemoryModule使用指南
最新发布
gitblog_00044的博客
09-03 528
MemoryModule使用指南 MemoryModuleLibrary to load a DLL from memory.项目地址:https://gitcode.com/gh_mirrors/me/MemoryModule 项目介绍 MemoryModule 是一个开源库,允许开发者在内存中加载DLL(动态链接库),无需先将其存储到文件系统上。这一特性对于提升加载速度、实现某些特定场景下...
标题:**MemoryModule:灵活的内存PE加载器,让模块载入更自由**
gitblog_00076的博客
06-13 426
标题:MemoryModule:灵活的内存PE加载器,让模块载入更自由 MemoryModuleA tool to parse and load module in memory, as well as attach a DLL in EXE. Most of the functions are inline, so that it can also be used in shellcode....
CCCS-Yara规范:定义验证YARA规则元数据
- first_imported: 指明规则第一次被导入的时间,这有助于记录规则的首次使用情况。 标签“yara yara-format assemblyline Python”反映了这个资源的几个相关技术点: - yara: 指代YARA本身,即恶意软件识别规则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值