使用windbg分析PE导入表(INT IAT)

最新推荐文章于 2025-07-18 09:52:49 发布
最新推荐文章于 2025-07-18 09:52:49 发布
阅读量1.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: PE 软件调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sankernel/article/details/104662516 

Microsoft (R) Windows Debugger Version 10.0.18362.1 X86
Copyright (c) Microsoft Corporation. All rights reserved.

CommandLine: C:\Windows\SysWOW64\notepad.exe

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*C:\SymbolCache*http://msdl.microsoft.com/download/symbols
Symbol search path is: srv*C:\SymbolCache*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 00dd0000 00dfb000   notepad.exe
ModLoad: 778a0000 77a3a000   ntdll.dll
ModLoad: 75be0000 75cc0000   C:\WINDOWS\SysWOW64\KERNEL32.DLL
ModLoad: 76b20000 76d1d000   C:\WINDOWS\SysWOW64\KERNELBASE.dll
ModLoad: 773a0000 773c1000   C:\WINDOWS\SysWOW64\GDI32.dll
ModLoad: 77350000 77367000   C:\WINDOWS\SysWOW64\win32u.dll
ModLoad: 75d30000 75e8a000   C:\WINDOWS\SysWOW64\gdi32full.dll
ModLoad: 75910000 7598c000   C:\WINDOWS\SysWOW64\msvcp_win.dll
ModLoad: 77010000 7712f000   C:\WINDOWS\SysWOW64\ucrtbase.dll
ModLoad: 77130000 772c7000   C:\WINDOWS\SysWOW64\USER32.dll
ModLoad: 76f50000 7700f000   C:\WINDOWS\SysWOW64\msvcrt.dll
ModLoad: 77440000 776b5000   C:\WINDOWS\SysWOW64\combase.dll
ModLoad: 759a0000 75a5b000   C:\WINDOWS\SysWOW64\RPCRT4.dll
ModLoad: 75070000 75090000   C:\WINDOWS\SysWOW64\SspiCli.dll
ModLoad: 75060000 7506a000   C:\WINDOWS\SysWOW64\CRYPTBASE.dll
ModLoad: 773d0000 7742f000   C:\WINDOWS\SysWOW64\bcryptPrimitives.dll
ModLoad: 75b60000 75bd6000   C:\WINDOWS\SysWOW64\sechost.dll
ModLoad: 75280000 75304000   C:\WINDOWS\SysWOW64\shcore.dll
ModLoad: 772d0000 77349000   C:\WINDOWS\SysWOW64\advapi32.dll
ModLoad: 66dc0000 66fcf000   C:\WINDOWS\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.18362.657_none_2e72ec50278a619e\COMCTL32.dll
(26b0.3fec): Break instruction exception - code 80000003 (first chance)
eax=00000000 ebx=00543000 ecx=daed0000 edx=00000000 esi=008e2540 edi=778a688c
eip=7794e9e2 esp=0030f4bc ebp=0030f4e8 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!LdrInitShimEngineDynamic+0x6e2:
7794e9e2 cc              int     3
0:000>
最低0.47元/天 解锁文章

200万优质内容无限畅学
WinDBG详解进程初始化dll是如何加载的
xhp618的博客
11-05 235
INT 是 Windows 需要加载的函数名列IAT 是存放 GetProcAddress 返回函数地址的列
[系统安全] PE文件格式分析实战基础—分析helloworld文件
H4ppyD0g的博客
12-30 840
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
windbg分析PE导入导出
shuishan_lmy的博客
05-22 1118
使用windbg查看PE结构
TMS_LI的专栏
07-15 4944
使用windbg查看PE结构 实验环境: WIN7 32bit  编译器: Microsoft (R) Macro Assembler Version 6.14.8444 Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 15.00.30729.01 for 80x86 查看模块PE结构大体情况: 查看模块P
2.windbg-PE完整分析
hgy413的专栏
04-03 3048
1.PE结构常用的结构体 0:001> dt ntdll!*IMAGE* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DOS_HEADER ntdll!_IMA
windbg分析Kernel32.dll导出
weixin_30566063的博客
04-10 549
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址; I) 遍历导出名称(下面统称为ENT),匹配到需要的函数...
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 1882
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbgPE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbg是windows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
PE结构】5.导入
SMOne
06-25 2062
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
PE格式系列_0x04:输入查看(WinDbg+PEview+Stud_PE+Dependency+CFF)
可乐松子的博客
05-30 1304
目的:使用一个具体例子查询输入的真实模样;notepad.exe加载到内存时,查询输入INT,用这个INT中的函数名对应的真实地址填充notepad.exe内存中IAT的过程;PE文件装在完后,通过IAT就可以找到函数在内存中真正的地址 文章目录1.WinDbg查看输入1.输入起始地址2.IMAGE_IMPORT_DESCRIPTOR3.INT分析(得函数名)4.IAT分析(填充地址)5.总结2.常用PE工具查看输入PEviewStud_PEDependency3.参考 1.WinDbg查看.
5.2 加密壳技术(ASProtect, Armadillo 的 IAT 加密)
最新发布
勤奋的码农
07-18 554
摘要:本文深入探讨了加密壳技术(如ASProtect和Armadillo)中的IAT加密机制及其对抗策略。通过清除原始IAT并动态重建加密函数地址,这些技术有效干扰逆向分析,同时融合反调试和异常处理等防御手段。文章对比了ASProtect的多层硬件绑定加密与Armadillo的Magic Jump/Nanomites技术,并提供了Scylla工具脱壳、密钥破解等实战方法。研究指出,未来IAT加密将向TPM硬件集成和AI动态防御发展,但需平衡安全性与兼容性。该技术需结合控制流平坦化等方案构建纵深防护体系。
windbg 调试器原理的简单分析
09-12
windbg 调试器原理的简单分析.写调试器的绝好参考
Windbg 10.0.18362.1__win10 1903版 (最新版)
09-26
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来分析dump数据。
PE文件结构简析-windbg
06-15
PE文件结构简析,pe头文件是学习windows的一个重要过程,关于pe可以使用windbg调试器。
WinDBG 常用命令
weixin_33749242的博客
05-30 147
启动, 附加进程, 执行和退出(Starting, Attaching, Executing and Exiting) =======================   Start -> All Programs -> Debugging Tools for Windows -> WinDBG 启动 F6 attach to process 附加到进程 ...
WinDbg查看notepad的导入和kernel32导出
abtgu的博客
05-16 1082
一、 使用WinDbg查看notepad的导入。 查看notepad的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看notepad导入。 二、 使用WinDbg查看kernel32的导出。 查看kernel32的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看导出...
Windbg(蓝屏分析工具)v10.0.18362.1版本更新
09-29 1962
Windbg是一款经典的windows系统蓝屏分析修复工具,可以通过对dmp文件的分析和定位,分析并解决蓝屏、程序崩溃(IE崩溃)等问题。 注意事项 符号WinDbg关键的“数据库”,如果没有它,WinDbg基本上就是个废物,无法分析出更多问题原因。所以使用WinDbg设置符号,是必须要走的一步。 1、运行WinDbg软件,然后按【Ctrl+S】弹出符号设置窗 2、将符号地址:S...
使用windbg查看进程导入
momodeconger的博客
04-13 448
查看INT(1)每4个字节代一个导入函数的地址,一共从msvcp140d.dll中导入14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT(函数地址),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入内容,每个dll对应20个字节。查看导入的dll的名字。
PE结构(三)INT IAT
weixin_37673331的博客
02-29 2515
感谢滴水海哥!
stripped 逆向
01-06
### 对 Stripped 文件进行逆向工程的方法 Stripped 文件是指编译后的可执行文件或库文件中去除了符号和其他...特别是导入地址 (IAT),即便在经过混淆处理的情况下也往往能够找到入口点进而揭示依赖关系网络[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值