本文详细解读了PE文件中输入表的结构,包括IMAGE_IMPORT_DESCRIPTOR、IMAGE_THUNK_DATA、IMAGE_IMPORT_BY_NAME等关键组件,并阐述了如何通过修改输入表实现函数重定向的技术细节。
输入表(IID)
输入表
输入表的结构:输入表是以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始,一个程序
要调用几个dll就会有几个IID项,即每个IID对应于一个dll
IMAGE_IMPORT_DESCRIPTOR struct
union{
DWORD Characteristics ; ;00h
DWORD OriginalFirstThunk; // 注释1
}; //这是一个组合体,OriginalFirstThunk是指向函数名偏移地址(指针)组成的数组的一个指针
TimeDateStamp DWORD ;04h // 时间标志,可以忽略;
ForwarderChain DWORD ;08h // 正向链接索引,一般为0,当程序引用一个dll中的api,
//而这个api又引用其它dll中的api时用;
Name DWORD ;0Ch //DLL名字的指针,以00结尾的ASCII字符的RVA地址;
FirstThunk DWORD ;10h // 注释2
IMAGE_IMPORT_DESCRIPTOR ends
注释 1:该值为一个 IMAGE_THUNK_DATA数组的RVA,其中的每个指针都指向IMAGE_IMPORT_BY_NAME结构。
( IMAGE_THUNK_DATA包含了一个指向IMAGE_IMPORT_BY_NAME结构的指针,而非该结构本身,即:
有几个IMAGE_IMPORT_BY_NAME结构,收集这些结构的RVA
(即:IMAGE_THUNK_DATA)组成一个数组,以0结尾,然后将数组的RVA(指针)放入OriginalFirstThunk);
注释2 :该值也是一个指向 IMAGE_THUNK_DATA数组的RVA地址,如果不是一个指针,则就是该功能在DLL中的序号;
注释3 :OriginalFirstThunk与FirstThunk在本质上一致,不同在于:在pe文件被pe装载器装入之前,两者一样,指向同一个数组。
当pe文件被装载器装入之后,OriginalFirstThunk还指向原来的数组(INT 输入名字表:Import Name Table),
而FirstThunk则用调用的输入函数在内存的虚拟地址来代替表中的内容,即
指向的是一张指向输入函数地址的表,称为:IAT(输入地址表:Import Address Table)
IMAGE_THUNK_DATA结构:
typedef struct IMAGE_THUNK_DATA{
union{
PBYTE ForwarderString; //当该结构双字最高位为1时,表示函数以序号方式输入,此时双字低位为函数序号
PDWORD Function; //当最高位为0时,表示函数以字符串类型的函数名方式输入,此时整个双字的值是
DWORD Ordinal; //一个RVA,指向一个MAGE_IMPORT_BY_NAME结构(如下定义)
PIMAGE_IMPORT_BY_NAME AddressOfData; //
}ul;
}
IMAGE_IMPORT_BY_NAME 结构:
MAGE_IMPORT_BY_NAME STRUCT
Hint WORD ? //指示本函数在所驻留dll中的输出表中的序号(不是必须的)
Name BYTE ? //含有输入函数的函数名,一个ASCII码字符串,以NULL结尾(可变尺寸)
MAGE_IMPORT_BY_NAME ENDS
输入表的结构如上所述,(免杀)在对输入表进行修改时(一般是iat的修改),
将函数移到其它地方,然后修改相当应的THUNK,当然并不是全都有效,
比如nod32 的定位机制是跟踪thunk对其取出的函数进行对比,这样上面不管怎么移取出来的都一样,所以失效……
扫一扫
643
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
