(三)利用导入表、导出表和重定位表定位导入函数的地址

最新推荐文章于 2023-09-05 11:03:08 发布
原创 最新推荐文章于 2023-09-05 11:03:08 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何通过PE文件的重定位表、导入表和导出表来定位导入函数的地址。通过分析ida,揭示了call指令如何根据重定位信息进行调整,以及如何在导入表中找到对应函数的IMAGE_IMPORT_BY_NAME结构。最终,讨论了在不同基地址下,如何确保正确调用目标函数。

经过分析清单文件,我们知道 call  指令其实没有引用正确的地址。下面我们来看第3个步骤。

3.可执行文件

    使用 IDA查看生成的可执行文件,定位到 WinMain 入口函数:


查看调用MessageBoxA 处的字节码:


重定位

    调用语句变成了:

    call [00418340]

<
最低0.47元/天 解锁文章
()利用导入导出重定位表定位导入函数地址
systomnet的专栏
05-25 1535
4.运行程序          程序直接弹出了窗口:
()利用导入导出重定位表定位导入函数地址
systomnet的专栏
05-25 2273
Windows程序中大量使用的DLL文件,主要的作用是共享二进制代码。用户级编程中,核心API都在Kernel32.dll(内存、进程线程管理)、User32.dll(窗口管理)GDI32.dll(绘图)中提供。我们使用这些API如MessageBoxA时,只需要包含头文件Windows.h,并且把对应的User32.lib文件提供给链接器,那么系统就把如何找到MessageBoxA的信息放入
()利用导入导出重定位表定位导入函数地址
systomnet的专栏
05-25 861
2.清单文件          首先查看调用 MessageBoxA函数时,生成了什么指令: EXTRN   __imp__MessageBoxA@16:PROC MessageBoxA(NULL,"ImportAndExport","Nothing",MB_OK);     8b f4              movesi, esp     6a 00              pu
PE文件分析之导入导出及重定位
qq_41814777的博客
10-14 2283
导入地址(Import Address Table, IAT) 导入函数导入函数是指,在PE程序运行时会调用的,且代码又不在程序中的函数,一般位于DLL文件中。在调用者程序即PE程序中,只保留导入函数DLL名称、函数名称等信息。 DLL的装载方式: 采用 隐式链接方式,程序员在建立一个DLL文件时,链接程序会自动生成一个与之对应的LIB导入文件。该文件包含了每一个DLL导出函数的符号名...
DLL引入定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4427
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码中需要引用该字符串,于是直接从原代码中copy了一段引用该字符串的代码。头几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁中对字符串的引用指向了一个无
PE获取导出 导入 资源 重定位表
11-30
DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,...
掌握PE文件结构:导出导入、资源重定位表操作教程
在了解PE文件结构的过程中,关注PE文件中的导出导入、资源重定位表是相当重要的。以下是对标题中提及的各个知识点的详细说明: ### PE文件结构 PE(Portable Executable)文件格式是Windows操作系统中...
DLL导出函数重定向机制
weixin_30947043的博客
09-28 226
曾经,调试时跟进HeapAlloc,结果发现直接进入到ntdll的RtlAllocateHeap中,感到很有趣,就使用Dependency Walker查看kernel32.dll导出函数,结果发现HeapAlloc的地址直接显示的就是NTDLL.RtlAllocateHeap。于是反汇编查看kernel32.dll文件,发现本以为是汇编代码的HeapAlloc的函数体就是字符串NTDLL.Rt...
IDA-函数信息分析-查找引用-导入-导出-反向定位-调整基地址
插件开发
10-13 4973
可以双击导入选项进入,代码位置,再按Ctrl+X查看引用。Edit–>Segments–>Rebase Program改变基址。就可以得到函数参数形式,非常方便。如有疑问,敬请留言。
基址重定位表
learn112的博客
12-30 280
基址重定位表 基址重定位表(BASE RELOCATION Table) 位于可选头最后一个成员的第6个元素 转到基址重定位表 将基址1000+424(低12位)得到1424,这个RVA就是在文件中的硬编码的地址 转到1424(位于第一个节区) 1424地址对应的值为010010C8 将010010C8-01000000(基址)=10C8 再将10C8+00D90000(实际加载地址)=00D910C8 得到程序硬编码的实际映射地址 这个地址(00D910C8)其实就是IAT在映射中的地址 基址重定
定位 (1)
richard1230的博客
10-09 1477
1.重定位的需求: 在生成程序的时候,很多涉及到地址的代码,都使用一个绝对的虚拟内存地址(这个虚拟内存地址是假设程序加载到0x400000的地方时才能够使用的),但是当程序的加载基址产生变化的时候,新的加载基址默认的加载基址就不一样了,那些涉及到地址的代码就不能运行了,此时就需要将那些涉及到地址的代码,把他们的操作数修改(去掉默认加载基址,再加上新的加载基址)才能够使程序运行起来. 2.产生重定...
关于C++中的重定位
weixin_30651273的博客
05-07 293
"标准库定义了4个IO对象,处理输入时使用命名为cin的istream类型对象,这个对象也成为标准输入。处理输出时使用命名为cout的ostream类型对象,这个对象也称为标准输出。标准库还定义了另外两个ostream对象,分别命名为cerrclog。cerr对象又叫标准错误,通常用来输出警告错误信息给程序的使用者,而clog对象用于产生程序执行的一般信息。一般情况下,系统将这些对象...
C++重定向
honpey爱编程
04-02 2750
需求:一份C++源码中许多 cout 实现: 将标准输出(cout)重定向到文件out.txt中 freopen("out.txt","w",stdout); 该函数一般用于对标准输入、标准输出以及标准出错流的重定向,实验证明对于普通的文件重定向本函数也可以完成。首先获得FILE指针 FILE *lpf = fopen("out.txt","w"); 然后还是通过函数freope
未解决符号导出符号地址重定向
diaoju3333的博客
01-11 124
让我们总结一下:编译器把一个cpp编译为目标文件的时候,除了要在目标文件里写入cpp里包含的数据代码,还要至少提供3个:未解决符号导出符号地址重定向。 未解决符号提供了所有在该编译单元里引用但是定义并不在本编译单元里的符号及其出现的地址导出符号提供了本编译单元具有定义,并且愿意提供给其他编译单元使用的符号及其地址地址重定向提供了本编译单...
导出-重定向
weixin_64293960的博客
05-14 126
1、为什么要分成3张函数导出的个数与函数名的个数未必一样.所以要将函数地址函数名称分开.2、函数地址是不是一定大于函数名称?未必,一个相同的函数地址,可能有多个不同的名字.
PE结构之重定位表
weixin_30462049的博客
11-13 260
什么是重定位: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
2.5 PE结构:导入详细解析
优快云
09-05 2万+
导入(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
22. PE结构-PE详解之输入导入)、屠龙刀W32Dasm(静态)、LordPE(动态)工具入门(查找dll、调用函数
墨痕诉清风的博客
03-05 2693
我们知道PE 文件中的数据被载入内存后根据不同页面属性被划分成很多区块(节),并有区块(节)的数据来描述这些区块。这里我们需要注意的问题是:一个区块中的数据仅仅只是由于属性相同而放在一起,并不一定是同一种用途的内容。例如接着要讲的输入、输出等就有可能只读常量一起被放在同一个区块中,因为他们的属性都是可读不可写的。 其次,由于不同用途的数据有可能被放入同一个区块中,因此仅仅依靠区块是无...
认识Import-PE输入说明
01-25 1520
认识Import-PE输入说明 有很多介绍PE文件的文章,但是我打算写一篇关于输入的文章,因为它对于破解很有用。     我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值