PE文件和COFF文件格式分析——导入表

原創 yu_sn0w 2020-03-06 18:33

因为之前已经介绍了PE基本格式以及导出表相关,因此一些基本的东西就直接省略,用工具直接定位。

PE文件和COFF文件格式分析(1)

PE文件和COFF文件格式分析——导出表

本次以 kernel32.dll 为例,查看其导入表。

首先用 Stud_PE.exe 查看导入表的位置如下:
在这里插入图片描述
也就是在文件的地址 0x084c88。跳过去看看,以红线开始
在这里插入图片描述
查看导入表定义:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    } DUMMYUNIONNAME;
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date\time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)

    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

可见大小是 0x14 个字节。上面看到Stud_pe 中展示了导入表大小是 0x744。0x744 / 0x14 = 0x5D。
因为这里是一个数组!一共有 0x5D 个结构。用 0x84C88 + 0x744 = 0x853cc
在这里插入图片描述
看最后的 0x14 个字节是全0。也就是这个是数组结束的标志。即实际有效的是 0x5C 个导入表。
用 PE view 查看一下:
在这里插入图片描述
右侧是根据每个DLL 分开的。可以数一数确实是那么多。
因为是数组,这里就分析一个就可以,看图:
在这里插入图片描述
上面说到一个 IMAGE_IMPORT_DESCRIPTOR 的大小是 0x14 个字节,是上图中红色划线之间的部分。
对应每一个值就是:
在这里插入图片描述
有关上面几个字段的含义可以参考:
PE文件学习笔记(一)—导入导出表
PE文件格式学习(四):导入表

这里简单说一下,中间2个为0 的字段暂时不管,以后理解了再补充。
Name 就是这个导入表的名称的地址,这里是 0xa18d4,计算成文件地址是 0x868d4。
在这里插入图片描述
可以看到是一个以 0 结尾的字符串。
佐证一下:
在这里插入图片描述
另外两个重要的字段的含义:

/*
	FirstThunk;
	OriginalFirstThunk;
	这两个值含义在文件中应该是一样的,指向一个结构体数组 IMAGE_THUNK_DATA32[N]
	但是当PE 加载进内存就有差异了,FirstThunk 指向的数组和OriginalFirstThunk指向的不再一样
	FirstThunk 指向的数组的含义是函数地址!!),而 OriginalFirstThunk 指向的是名称和序数地址,也就是 IMAGE_IMPORT_BY_NAME 的地址
	该数组结束的标志是以一个 IMAGE_THUNK_DATA32 全部为0 作为标志
	IMAGE_THUNK_DATA32 最高位如果为0,则IMAGE_THUNK_DATA32.AddressOfData是一个RVA,指向一个IMAGE_IMPORT_BY_NAME结构,用来保存名字信息
	反之如果最高位为1,则低16位是导出序数。
	*/

因此,简单的说,在文件里面,通常 OriginalFirstThunk 指向一个数组的首地址,这个数组是:
IMAGE_THUNK_DATA32[N]。
至于 32 和 64 位差距暂时没研究。
看一下:
在这里插入图片描述
发现 FirstThunk = 0x816d0 ->RA = 0x666D0
OriginalFirstThunk = 0xa0fcc ->RA = 0x85fcc

在这里插入图片描述
在这里插入图片描述
我们发现,虽然 FirstThunk OriginalFirstThunk 的值不一样,但是对应地址写的 IMAGE_THUNK_DATA32[N]
的地址是一样的,印证了上面的说法。
由于这个地址最高位是0,一次他说一个指向一个名字结构的地址,这个名字结构就是 typedef struct

_IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    CHAR   Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

也就是前两个字节是导入函数在对应 DLL 中的序数,后面是一个以 0 结尾的字符串。

这个地址 0x0a1898(转换成文件地址:0x86898)。。跳过去:
在这里插入图片描述
可以看到序数是 0x0001,函数名字是 RtlCaptureStackBackTrace。
同理,看图
在这里插入图片描述
由于红线是 IMAGE_THUNK_DATA32[N] 数组首地址,以全0结构体结束,可以看到一共有三个值,第四个就是全0。
不妨再看第二个元素是 0x0a18B4,转换成文件地址:0x868B4:
在这里插入图片描述
可以看到,其实就是接着上面的一个名字结构体的。该DLL 有三个导入函数:
看工具分析结果:
在这里插入图片描述
上面说到:

发现  FirstThunk = 0x816d0 	->RA = 0x666D0 
OriginalFirstThunk = 0xa0fcc 	->RA = 0x85fcc

对比就可以发现:工具第一列就是 IMAGE_THUNK_DATA32 数组的每个元素的地址(文件中的地址)
这每个元素指向另一个地址(名称结构 IMAGE_IMPORT_BY_NAME 的地址),也就是 第二列 DATA 的值(这个值是RVA)。
Value 列,就是 IMAGE_IMPORT_BY_NAME 中序数和名字了。

最后,再看:
在这里插入图片描述

在这里插入图片描述

可以发现
FirstThunk = 0x816d0 ->RA = 0x666D0
OriginalFirstThunk = 0xa0fcc ->RA = 0x85fcc
两个字段指向的是不同的两个数组 IMAGE_THUNK_DATA32 [N] 的地址,数组以一个全0的结构体结束。
虽然这两个数组不同,但是数组的内容是一模一样的。
工具看一下:
在这里插入图片描述
在这里插入图片描述
可以发现两个不同的地方,对应的实际数据是一样的。

参考下图,来源: PE文件格式学习(四):导入表
在这里插入图片描述
按照一些说法,上图中 IAT,再加载进内存中后就不是和INT 一样相同指向了。(未证实)

最后附上代码分析的结果(一共 0x5C 个导入表)~:
在这里插入图片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

修改虚函数中部分函数和HOOK虚函数

class CTestVirtual { public:     virtual void FunA()     {         std::cout << "FuncA " << m_iNum << std::endl;     }

yu_sn0w 2020-07-07 13:31:33

解析URL的域名证书

可以通過 openssl 獲取常規的,但是部分網站獲取不正確。 // 請使用 CertFreeCertificateContext 釋放 *p_context void GetCertFromDomain(const wchar_

yu_sn0w 2020-07-07 13:31:31

封装统一模板调用动态库(dll)

enum CallLibType {     eStdCall,     eCdecl }; template<typename ResultType, typename ...params> void  CallLibrary(Cal

yu_sn0w 2020-07-07 13:31:31

Windows 下动态库的 DllMain 与 c++ 相关坑

首先推薦一系列深度剖析的文章: https://blog.csdn.net/breaksoftware/article/details/8167641 有時候需要在 DllMain 中寫一些代碼,比如下面這樣,其中 TestAtt

yu_sn0w 2020-07-07 13:31:31

cef osr拖拽功能实现

轉載請說明原出處,謝謝~~:https://redrain.blog.csdn.net/article/details/107105312 cef顯示web分爲窗口模式和離屏渲染模式(osr,off screen rendering)。窗

Redrain 2020-07-07 06:32:47

win32 实现滚屏的两种方式

代碼實現的優點粗燥,思路是這麼個思路。 方法1. 在timer裏面每次重畫窗口 LRESULT Demo::WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam) {

BU折腾 2020-07-06 21:46:15

win32 捕获锁屏消息

參考: https://docs.microsoft.com/en-us/windows/win32/termserv/wm-wtssession-change https://docs.microsoft.com/en-us/windo

BU折腾 2020-07-06 21:46:15

VC调试模式下does not contain debug information. Press OK to Continue

轉載:http://ustcfxx.iteye.com/blog/760016 找了一些資料,常規的解決辦法是: 檢查一:   Open your project (or workspace...)From menu bar: B

BBOOT 2020-07-05 17:52:47

process bar 位置 处理

PBM_DELTAPOS  在MFC中就是 offsetpos 是實際物理框的前進動作, PBM_SETPOS  設置位置,MFC說是內部處理過程,實際物理框沒有反應過來。   錯誤: 我設置的大小 小於100的。 在調試模式下  set

wildwild1 2020-07-05 10:20:31

Windows BitLocker解锁PE工具

常用筆記本的朋友肯定又遇到忘記的密碼的場景, 今天遇到指紋無法解鎖導致需要PIN解鎖,用PE嘗試修改密碼。發現硬盤有BitLocker加密,無法進行修改   嘗試各種方法,發現一款帶BitLocker解鎖工具純淨PE(只有解鎖BitLoc

瘦瘦的胖子 2020-07-07 13:16:41

防静态跟踪和防动态跟踪

一 參考網址 反靜態分析和反動態跟蹤 二 靜態跟蹤概念 方法: 將關鍵代碼,藏起來或者加密.使得反彙編出來的程序中,看不到或者無法識別,則做到防靜態分析. 工具: IDA Pro可以將程序反彙編,查看其破解源碼. 三 逆向操作

学海无涯-学以致用 2020-07-07 06:52:24

移动重定位表到新增节

一、爲什麼要移動重定位表 數據目錄中的表是分散在各個節裏的,如果對節進行加密,操作系統找不到表,就無法加載程序。因此加密前要先把表移動到新的節裏。 二、怎麼移動 計算重定位表的大小,首先要遍歷重定位表,累加 SizeOfBlock

hambaga 2020-07-04 09:08:21

操作系统是如何使用重定位表的

一、重定位表的結構 重定位表是數據目錄中第6項,它的結構如圖示: 重定位表由多個塊(block)組成,每個塊內部由三部分組成——VirtualAddress、SizeOfBlock 和若干個2字節偏移。SizeOfBlock 表

hambaga 2020-07-04 09:08:21

导入表注入原理和C语言实现

一、導入表注入的原理 注入是把DLL加載到另一個進程的4GB地址空間中,實現方式有很多種,導入表注入是我學的第一種注入,是通過修改程序的導入表,把自己的DLL添加到導入表中,來實現這個目的。 導入表是連續存儲在節裏的,它後面還有其

hambaga 2020-07-04 09:08:21

移动导出表到新增节

一、爲什麼要移動導出表 移動導出表是指將導出表以及其內部的三張子表移動到新增節,這個操作是軟件加密的第一步。因爲軟件加密會把節進行加密,而數據目錄是在節裏的,加密後操作系統不認識了,因此我們要把數據目錄裏面的東西移動到一個新的節裏

hambaga 2020-07-04 09:08:21