(二)利用导入表、导出表和重定位表定位导入函数的地址

最新推荐文章于 2023-09-05 11:03:08 发布
原创 最新推荐文章于 2023-09-05 11:03:08 发布 · 861 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了调用MessageBoxA函数时生成的指令,详细解释了清单文件中call指令的编码格式,指出00 00 00 00作为内存地址在链接阶段会被改写为实际的DLL函数地址,从而实现导入函数的定位。

2.清单文件

         首先查看调用 MessageBoxA函数时,生成了什么指令:

EXTRN   __imp__MessageBoxA@16:PROC

MessageBoxA(NULL,"ImportAndExport","Nothing",MB_OK);

    8b f4              movesi, esp

    6a 00              push 0

    68 0000 00 00     push OFFSET ??_C@_07MMBOBMNN@Nothing?$AA@

    68 0000 00 00     push OFFSET ??_C@_0BA@NNJMLDJI@ImportAndExport?$AA@

    6a 00              push0

    ff 15 00 00 00 00     callDWORD PT

最低0.47元/天 解锁文章
()利用导入导出重定位表定位导入函数地址
systomnet的专栏
05-25 1281
经过分析清单文件,我们知道
移动重定位表模拟windows重定位过程
weixin_43990313的博客
07-20 456
移动重定位表 思路 大体上移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位表的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
PE文件分析之导入导出及重定位
qq_41814777的博客
10-14 2280
导入地址(Import Address Table, IAT) 导入函数导入函数是指,在PE程序运行时会调用的,且代码又不在程序中的函数,一般位于DLL文件中。在调用者程序即PE程序中,只保留导入函数DLL名称、函数名称等信息。 DLL的装载方式: 采用 隐式链接方式,程序员在建立一个DLL文件时,链接程序会自动生成一个与之对应的LIB导入文件。该文件包含了每一个DLL导出函数的符号名...
认识Import-PE输入说明
01-25 1520
认识Import-PE输入说明 有很多介绍PE文件的文章,但是我打算写一篇关于输入的文章,因为它对于破解很有用。     我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的
()利用导入导出重定位表定位导入函数地址
systomnet的专栏
05-25 2268
Windows程序中大量使用的DLL文件,主要的作用是共享进制代码。用户级编程中,核心API都在Kernel32.dll(内存、进程线程管理)、User32.dll(窗口管理)GDI32.dll(绘图)中提供。我们使用这些API如MessageBoxA时,只需要包含头文件Windows.h,并且把对应的User32.lib文件提供给链接器,那么系统就把如何找到MessageBoxA的信息放入
PE获取导出 导入 资源 重定位表
11-30
DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,...
掌握PE文件结构:导出导入、资源重定位表操作教程
在了解PE文件结构的过程中,关注PE文件中的导出导入、资源重定位表是相当重要的。以下是对标题中提及的各个知识点的详细说明: ### PE文件结构 PE(Portable Executable)文件格式是Windows操作系统中...
()利用导入导出重定位表定位导入函数地址
systomnet的专栏
05-25 1528
4.运行程序          程序直接弹出了窗口:
22. PE结构-PE详解之输入导入)、屠龙刀W32Dasm(静态)、LordPE(动态)工具入门(查找dll、调用函数
墨痕诉清风的博客
03-05 2689
我们知道PE 文件中的数据被载入内存后根据不同页面属性被划分成很多区块(节),并有区块(节)的数据来描述这些区块。这里我们需要注意的问题是:一个区块中的数据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。例如接着要讲的输入、输出等就有可能只读常量一起被放在同一个区块中,因为他们的属性都是可读不可写的。 其次,由于不同用途的数据有可能被放入同一个区块中,因此仅仅依靠区块是无...
2.5 PE结构:导入详细解析
优快云
09-05 2万+
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
DLL引入定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4426
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码中需要引用该字符串,于是直接从原代码中copy了一段引用该字符串的代码。头几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁中对字符串的引用指向了一个无
WIN32程序对应汇编代码
LLC
09-28 833
TITLE D:/vc6.0 project/WIN32MESSAGE/WIN32MESSAGE.cpp .386P include listing.inc if @Version gt 510 .model FLAT else _TEXT SEGMENT PARA
利用PE数据目录的导入获取函数名及其地址
编程菜鸟---正在努力进阶
06-24 6887
PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件签名(“PE00"字符串),紧接着是20字节的IMAGE_FILE_HEADER结构,它的后面是224字节的IMAGE
DLL的静态信息
~ 飞 扬 的 天 空 ~
02-18 990
自:http://blog.youkuaiyun.com/ymzhou117/article/details/7346899 如果需要调用DLL中的函数,那么DLL的imag必须映射到调用线程的进程地址空间中,我们可以通过2种方法处理。 1、在源代码中引入DLL的符号。当应用程序启动运行时,loader会隐式加载链接需要的DLL(仅需要时才加载)。 2、在程序运行时显示加载需要的DLL(调用
dbeaver 导出结构_逆向工具之移动导出
weixin_39875028的博客
12-27 5996
0x01 移动目的1、PE结构里许多是编译器自动生成的,里面存储很多非常重要的信息,比如这次要移动的导出记录了函数地址,序号,函数名称,函数数量等,通俗来说,导出相当于一张函数使用说明书,提供给函数使用。2、在程序启动的时候,系统会根据这些来做初始化的工作:比如将用到的DLL中的函数地址存储到IAT中,修复IAT。3、很多时候,为了保护我们的程序,可以对程序的进制代码进...
matlab messagebox函数,汇编语言MessageBoxA函数:显示消息框
weixin_39536010的博客
03-17 882
Win32 应用程序生成输岀的一个最简单的方法就是调用 MessageBoxA 函数:MessageBoxA PROTO,hWnd:DWORD, ;窗口句柄(可以为空)lpText:PTR BYTE, ;字符串,对话框内lpCaption:PTR BYTE, ;字符串,对话框标题uType:DWORD ...
关于绑定导入
abns44296的博客
03-24 865
0x01 绑定导入概念 绑定导入(The Bound Import Directory)。它包含了可以让加载器判断绑定的地址是否合法的信息。描述它的数据结构是IMAGE_BOUND_IMPORT_DESCRIPTOR,目录就是这种结构的数组,每一项都对应一个被绑定过的DLL。 每当PE装载器装入PE文件时,检查导入并将相关DLL映射到进程空间地址。然后通过遍历IA...
PE导出、重定位详解
93Storm
12-31 2559
此文档主要讲解导出,重定位信息: 使用例子为: Windows.UI.Xaml.dll、010editor 1、导出重定位表地址存放在哪里 DOS头-àPE头文件(_IMAGE_NT_HEADERS)-à扩展头(IMAGE_OPTIONAL_HEADER32)-à数据目录 数据目录中的内容: structIMAGE_DATA_DIRECTORY  Export
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值