PE文件導入表代碼解析

原創 一天不学浑身难受 2019-05-02 17:26

解析導入表就需要先認識下面這三個結構體 

//導入表結構體
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
	union {
		DWORD   Characteristics;   

		//主要這個,包含指向INT的RVA
		DWORD   OriginalFirstThunk;
	};

	//時間標識
	DWORD   TimeDateStamp;  

	//與轉發有關
	DWORD   ForwarderChain;             

	//這就是DLL文件名
	DWORD   Name;

	//IAT的RVA
	DWORD   FirstThunk; 
} IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR;

 

//
typedef struct _IMAGE_THUNK_DATA32 {
	union {

		//轉發器有關
		DWORD ForwarderString;

		//IAT有關
		DWORD Function;

		//當前結構高位爲1是有關
		DWORD Ordinal;

		//不是上面三個的時候這個就發揮作用
		//指向輸入名稱表
		DWORD AddressOfData;
	} u1;
} IMAGE_THUNK_DATA32,*PIMAGE_THUNK_DATA32;
//輸入名稱表
typedef struct _IMAGE_IMPORT_BY_NAME {

	//導入的函數序號
	WORD    Hint;

	//導入的函數名稱
	CHAR   Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

 IMAGE_IMPORT_DESCRIPTOR(導入表)僅僅是一個引導者,引導系統找到那兩個保存有真正導入信息的結構體,也就是IMAGE_THUNK_DATA和IMAGE_IMPORT_BY_NAME。

實現代碼: 


BOOL PEAnalyseSpace::PEAnalyse::ShowImport()
{
	//執行是否成功
	BOOL bRet = FALSE;

	//導入表指針
	PIMAGE_IMPORT_DESCRIPTOR pImport = NULL;

	//指針
	PIMAGE_THUNK_DATA pThunk = NULL;

	//導入名稱表指針
	PIMAGE_IMPORT_BY_NAME pName = NULL;

	//字符串指針
	PCHAR pszName = NULL;

	do 
	{
		//沒有解析
		if (m_lpBase == NULL)
		{
			break;
		}

		//沒有導入導入表,這個是不可能的
		if (m_pNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size == NULL)
		{
			break;
		}

		//獲取導入表
		pImport = (PIMAGE_IMPORT_DESCRIPTOR)
			(RVAtoOffset(m_pNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress)
				+ (DWORD)m_lpBase);

		//循環遍歷
		while (pImport->Name)
		{
			//獲取導入地址表
			pThunk = (PIMAGE_THUNK_DATA)
				(RVAtoOffset(pImport->OriginalFirstThunk) + (DWORD)m_lpBase);

			//獲取模塊名字
			pszName = (PCHAR)(RVAtoOffset(pImport->Name) + (DWORD)m_lpBase);


			cout << "Module Name Is: "
				<< pszName
				<< endl;

			//循環遍歷地址
			while (pThunk->u1.AddressOfData)
			{
				//判斷是序號導入還是名稱導入
				//序號
				if (IMAGE_SNAP_BY_ORDINAL32(pThunk->u1.AddressOfData))
				{
					cout << "Index Import -> ID: "
						<< hex
						<< (pThunk->u1.Ordinal & 0xffff)
						<< endl;
				}
				else//名稱導入
				{
					//獲取導入名稱
					pName = (PIMAGE_IMPORT_BY_NAME)
						(RVAtoOffset(pThunk->u1.AddressOfData)
							+ (DWORD)m_lpBase);
					cout << "Name Import -> ID: "
						<< hex
						<< pName->Hint
						<< "\tName: "
						<< pName->Name
						<< endl;
				}
				pThunk++;
			}
			cout << endl;
			pImport++;
		}
		bRet = TRUE;
	} while (FALSE);
	return bRet;
}

 實際效果:

Github:源代碼下載

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【EXE PE】初識pe結構--手寫可執行程序

原文地址http://bbs.pediy.com/showthread.php?t=48590 【文章標題】: 手寫可執行程序 【文章作者】: dncwbc 【作者郵箱】: [email protected] 【作者QQ號】: 1824459

zfpigpig 2020-06-29 20:03:01

Windows BitLocker解鎖PE工具

常用筆記本的朋友肯定又遇到忘記的密碼的場景, 今天遇到指紋無法解鎖導致需要PIN解鎖,用PE嘗試修改密碼。發現硬盤有BitLocker加密,無法進行修改   嘗試各種方法,發現一款帶BitLocker解鎖工具純淨PE(只有解鎖BitLoc

瘦瘦的胖子 2020-07-07 13:16:41

防靜態跟蹤和防動態跟蹤

一 參考網址 反靜態分析和反動態跟蹤 二 靜態跟蹤概念 方法: 將關鍵代碼,藏起來或者加密.使得反彙編出來的程序中,看不到或者無法識別,則做到防靜態分析. 工具: IDA Pro可以將程序反彙編,查看其破解源碼. 三 逆向操作

学海无涯-学以致用 2020-07-07 06:52:24

移動重定位表到新增節

一、爲什麼要移動重定位表 數據目錄中的表是分散在各個節裏的,如果對節進行加密,操作系統找不到表,就無法加載程序。因此加密前要先把表移動到新的節裏。 二、怎麼移動 計算重定位表的大小,首先要遍歷重定位表,累加 SizeOfBlock

hambaga 2020-07-04 09:08:21

操作系統是如何使用重定位表的

一、重定位表的結構 重定位表是數據目錄中第6項,它的結構如圖示: 重定位表由多個塊(block)組成,每個塊內部由三部分組成——VirtualAddress、SizeOfBlock 和若干個2字節偏移。SizeOfBlock 表

hambaga 2020-07-04 09:08:21

導入表注入原理和C語言實現

一、導入表注入的原理 注入是把DLL加載到另一個進程的4GB地址空間中,實現方式有很多種,導入表注入是我學的第一種注入,是通過修改程序的導入表,把自己的DLL添加到導入表中,來實現這個目的。 導入表是連續存儲在節裏的,它後面還有其

hambaga 2020-07-04 09:08:21

移動導出表到新增節

一、爲什麼要移動導出表 移動導出表是指將導出表以及其內部的三張子表移動到新增節,這個操作是軟件加密的第一步。因爲軟件加密會把節進行加密,而數據目錄是在節裏的,加密後操作系統不認識了,因此我們要把數據目錄裏面的東西移動到一個新的節裏

hambaga 2020-07-04 09:08:21

PE格式詳細講解

PE是英文Portable Executable(可移植的執行體)的縮寫,從縮寫可以看出它是跨平臺的,即使在非intel的CPU上也能正常運行的。它是 Win32環境自身所帶的執行體文件格式。其實不光是EXE文件是PE格式,其它的一些重要

小狗狗的专栏 2020-06-26 22:29:07

PE 數字簽名

http://www.youdzone.com/signature.html  英文文章,介紹了證書與簽名的關係。 http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_sign

keidoekd2345 2020-06-25 06:31:55

PE:AddNewSection

DWORD AddNewSection(IN PVOID pFileBuffer, OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIM

zmmycsdn 2020-06-23 10:32:11

PE:copyBaseRelocation2NewSection

DWORD copyBaseRelocation2NewSection(IN PVOID pFileBuffer,OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader

zmmycsdn 2020-06-23 09:54:38

PE文件之miansha

首先來簡單瞭解一下殺毒軟件查殺病毒的原理,當前殺毒軟件對病毒的查殺主要有特徵代碼法和行爲監測法。其中前一個比較方法古老,又分爲文件查殺和內存查殺,殺毒軟件公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致

丸子头 2020-06-22 13:28:06

iczelion pe tut2

  Tutorial 2: Detecting a Valid PE File In this tutorial, we will learn how to check if a given file is a valid PE file

jimgreen 2020-06-21 15:30:52

iczelion pe tut4

  Tutorial 4: Optional Header We have learned about the DOS header and some members of the PE header. Here's the last,

jimgreen 2020-06-21 14:45:10

iczelion pe tutcn7

  PE教程7: Export Table(引出表) 上一課我們已經學習了動態聯接中關於引入表那部分知識,現在繼續另外一部分,那就是引出表。   理論: 當PE裝載器執行一個程序,它將相關DLLs都裝入該進程的地址空間。然後根據主程序的引

jimgreen 2020-06-21 14:45:08