使用windbg分析PE导入表(INT IAT)

最新推荐文章于 2025-07-18 09:52:49 发布
最新推荐文章于 2025-07-18 09:52:49 发布
阅读量1.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: PE 软件调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sankernel/article/details/104662516 

Microsoft (R) Windows Debugger Version 10.0.18362.1 X86
Copyright (c) Microsoft Corporation. All rights reserved.

CommandLine: C:\Windows\SysWOW64\notepad.exe

************* Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*C:\SymbolCache*http://msdl.microsoft.com/download/symbols
Symbol search path is: srv*C:\SymbolCache*http://msdl.microsoft.com/download/symbols
Executable search path is: 
ModLoad: 00dd0000 00dfb000   notepad.exe
ModLoad: 778a0000 77a3a000   ntdll.dll
ModLoad: 75be0000 75cc0000   C:\WINDOWS\SysWOW64\KERNEL32.DLL
ModLoad: 76b20000 76d1d000   C:\WINDOWS\SysWOW64\KERNELBASE.dll
ModLoad: 773a0000 773c1000   C:\WINDOWS\SysWOW64\GDI32.dll
ModLoad: 77350000 77367000   C:\WINDOWS\SysWOW64\win32u.dll
ModLoad: 75d30000 75e8a000   C:\WINDOWS\SysWOW64\gdi32full.dll
ModLoad: 75910000 7598c000   C:\WINDOWS\SysWOW64\msvcp_win.dll
ModLoad: 77010000 7712f000   C:\WINDOWS\SysWOW64\ucrtbase.dll
ModLoad: 77130000 772c7000   C:\WINDOWS\SysWOW64\USER32.dll
ModLoad: 76f50000 7700f000   C:\WINDOWS\SysWOW64\msvcrt.dll
ModLoad: 77440000 776b5000   C:\WINDOWS\SysWOW64\combase.dll
ModLoad: 759a0000 75a5b000   C:\WINDOWS\SysWOW64\RPCRT4.dll
ModLoad: 75070000 75090000   C:\WINDOWS\SysWOW64\SspiCli.dll
ModLoad: 75060000 7506a000   C:\WINDOWS\SysWOW64\CRYPTBASE.dll
ModLoad: 773d0000 7742f000   C:\WINDOWS\SysWOW64\bcryptPrimitives.dll
ModLoad: 75b60000 75bd6000   C:\WINDOWS\SysWOW64\sechost.dll
ModLoad: 75280000 75304000   C:\WINDOWS\SysWOW64\shcore.dll
ModLoad: 772d0000 77349000   C:\WINDOWS\SysWOW64\advapi32.dll
ModLoad: 66dc0000 66fcf000   C:\WINDOWS\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.18362.657_none_2e72ec50278a619e\COMCTL32.dll
(26b0.3fec): Break instruction exception - code 80000003 (first chance)
eax=00000000 ebx=00543000 ecx=daed0000 edx=00000000 esi=008e2540 edi=778a688c
eip=7794e9e2 esp=0030f4bc ebp=0030f4e8 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!LdrInitShimEngineDynamic+0x6e2:
7794e9e2 cc              int     3
0:000>
最低0.47元/天 解锁文章

200万优质内容无限畅学
WinDBG详解进程初始化dll是如何加载的
xhp618的博客
11-05 235
INT 是 Windows 需要加载的函数名列IAT 是存放 GetProcAddress 返回函数地址的列
[系统安全] PE文件格式分析实战基础—分析helloworld文件
H4ppyD0g的博客
12-30 840
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
windbg分析PE导入导出
shuishan_lmy的博客
05-22 1118
使用windbg查看PE结构
TMS_LI的专栏
07-15 4944
使用windbg查看PE结构 实验环境: WIN7 32bit  编译器: Microsoft (R) Macro Assembler Version 6.14.8444 Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 15.00.30729.01 for 80x86 查看模块PE结构大体情况: 查看模块P
2.windbg-PE完整分析
hgy413的专栏
04-03 3048
1.PE结构常用的结构体 0:001> dt ntdll!*IMAGE* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DOS_HEADER ntdll!_IMA
windbg分析Kernel32.dll导出
weixin_30566063的博客
04-10 549
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址; I) 遍历导出名称(下面统称为ENT),匹配到需要的函数...
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 1882
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbgPE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbg是windows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
PE结构】5.导入
SMOne
06-25 2062
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
PE格式系列_0x04:输入查看(WinDbg+PEview+Stud_PE+Dependency+CFF)
可乐松子的博客
05-30 1304
目的:使用一个具体例子查询输入的真实模样;notepad.exe加载到内存时,查询输入INT,用这个INT中的函数名对应的真实地址填充notepad.exe内存中IAT的过程;PE文件装在完后,通过IAT就可以找到函数在内存中真正的地址 文章目录1.WinDbg查看输入1.输入起始地址2.IMAGE_IMPORT_DESCRIPTOR3.INT分析(得函数名)4.IAT分析(填充地址)5.总结2.常用PE工具查看输入PEviewStud_PEDependency3.参考 1.WinDbg查看.
5.2 加密壳技术(ASProtect, Armadillo 的 IAT 加密)
最新发布
勤奋的码农
07-18 555
摘要:本文深入探讨了加密壳技术(如ASProtect和Armadillo)中的IAT加密机制及其对抗策略。通过清除原始IAT并动态重建加密函数地址,这些技术有效干扰逆向分析,同时融合反调试和异常处理等防御手段。文章对比了ASProtect的多层硬件绑定加密与Armadillo的Magic Jump/Nanomites技术,并提供了Scylla工具脱壳、密钥破解等实战方法。研究指出,未来IAT加密将向TPM硬件集成和AI动态防御发展,但需平衡安全性与兼容性。该技术需结合控制流平坦化等方案构建纵深防护体系。
windbg 调试器原理的简单分析
09-12
windbg 调试器原理的简单分析.写调试器的绝好参考
Windbg 10.0.18362.1__win10 1903版 (最新版)
09-26
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来分析dump数据。
真正Win10中可用的windbg10(Debugging Tools for Windows 10
05-27
目前优快云下载频道中的微软调试工具WinDbg(即Debugging Tools for Windows)大都不适用于Win10系统,在Windows10中会报错:Could not find the xxx\MEMORY.DMP Dump File,Win32 error On87。这里提供的WinDbg10下载自微软官网,适用于Win10系统(切记以管理员权限运行)。
WinDBG 常用命令
weixin_33749242的博客
05-30 147
启动, 附加进程, 执行和退出(Starting, Attaching, Executing and Exiting) =======================   Start -> All Programs -> Debugging Tools for Windows -> WinDBG 启动 F6 attach to process 附加到进程 ...
WinDbg查看notepad的导入和kernel32导出
abtgu的博客
05-16 1082
一、 使用WinDbg查看notepad的导入。 查看notepad的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看notepad导入。 二、 使用WinDbg查看kernel32的导出。 查看kernel32的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看导出...
Windbg(蓝屏分析工具)v10.0.18362.1版本更新
09-29 1963
Windbg是一款经典的windows系统蓝屏分析修复工具,可以通过对dmp文件的分析和定位,分析并解决蓝屏、程序崩溃(IE崩溃)等问题。 注意事项 符号WinDbg关键的“数据库”,如果没有它,WinDbg基本上就是个废物,无法分析出更多问题原因。所以使用WinDbg设置符号,是必须要走的一步。 1、运行WinDbg软件,然后按【Ctrl+S】弹出符号设置窗 2、将符号地址:S...
使用windbg查看进程导入
momodeconger的博客
04-13 448
查看INT(1)每4个字节代一个导入函数的地址,一共从msvcp140d.dll中导入14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT(函数地址),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入内容,每个dll对应20个字节。查看导入的dll的名字。
stripped 逆向
01-06
### 对 Stripped 文件进行逆向工程的方法 Stripped 文件是指编译后的可执行文件或库文件中去除了符号和其他调试信息,这使得传统的基于符号名的反汇编和调试变得困难。然而,仍然有多种技术和工具可以帮助理解和分析这类文件。 #### 使用静态分析技术 通过静态分析可以直接查看二进制文件的内容而无需运行它。对于 stripped 的 ELF 或 PE 文件来说,可以利用 IDA Pro、Ghidra 等强大的反汇编工具来进行深入研究。这些工具有助于识别函数边界并尝试重建调用图谱[^1]。 #### 动态分析法 动态分析涉及实际执行目标应用程序,并监控其行为模式。当面对 stripped 文件时,可以通过设置断点跟踪特定 API 调用或者监视内存访问情况来推断程序逻辑。例如,在 Linux 下使用 GDB 进行动态调试;而在 Windows 上则可以选择 WinDbg 工具集[^2]。 #### 数据恢复策略 针对被 strip 掉的信息(如字符串常量),可以从二进制镜像里提取出来作为线索。许多编程语言会在最终产物中保留某些形式的人类可读文本片段,即使是在高度优化之后也不例外。此外,还可以寻找未初始化全局变量所在的 .bss 段位置,因为这里通常保存了一些有意义的名字空间定义[^3]。 ```cpp // 示例:从 stripped 文件中定位可能存在的硬编码字符串 #include <iostream> #include <cstring> int main() { char* str = "This is a hidden string"; // 假设这是存在于 binary 中的一串字符 std::cout << "Found String: " << str << "\n"; } ``` #### 利用已知结构特征 了解常见的文件格式特性有助于解析 stripped 文件。以 PE 文件为例,尽管部分元数据已被移除,但各个区段(section)依然遵循既定布局规则。特别是导入地址 (IAT),即便在经过混淆处理的情况下也往往能够找到入口点进而揭示依赖关系网络[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值