黑松山资源网 Design By www.paidiu.com
导入表的定义
PE 导入表保存了 PE 文件导入的函数和 DLL,并为操作系统提供了调用这些函数所需的信息。PE 导入表确保 PE 文件正常工作,并提供了调用库函数的方法。如图:
导入表的位置
和上一节 导出表 的位置一样位于扩展PE头的DIRECTORY DataDirectory[10]里,第一个是导出表,第二个就是导入表。
> typedef struct _IMAGE_DATA_DIRECTORY
> {
> DWORD VirtualAddress; //导入表开始的地址 **注意是RVA的值**
> RVADWORD Size; //导入表大小
> }
> IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
导入表的地址为:0x000500D0(RVA),大小为:0x00000104
由于此文件文件对齐和内存对齐都是1000h,所以RVA==FOA
代表第一个导入表从500D0开始,从可以引用多个DLL知道导入表不止一个,当连续出现20个零的时候说明导入表结束;
可以看到从501C0开始连续20个字节为0,则导入表有12个(16*15/20)
我们会发现12个与刚开始利用OD分析出来的DLL个数不相同,这是因为静态文件分析只能分析出程序在编译时所链接的DLL文件,而OD能够检测到程序在运行时动态加载的DLL文件。
第一个导入表分析:
导入表的数据结构:
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
DWORD Characteristics;
DWORD OriginalFirstThunk; // 指向 导入名称表INT(ImportNameTable)的RVA
} DUMMYUNIONNAME;
DWORD TimeDateStamp;
DWORD ForwarderChain;
DWORD Name; // 指向 DLL名称的地址 RVA
DWORD FirstThunk; // 指向 导入地址表IAT(ImportAddressTable)的RVA
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;
先来分析DLL名称,在0x0C处,地址为:0x00050A58,跟过去:
名称以00结束,完整的DLL名称是:KERNEL32.dll
再来分析导入名称表,即dll下的函数名:在0x00050278
同样KERNEL32.dll下的函数名称不可能只有一个,遇到连续的8个零代表名称表结束,第一个名称所在的地址为:00051442,第二个地址为:0005142A
后面的函数名就不一一列出了,前两个分别为:GetDiskFreeSpaceA;GetVolumeInformationA;
0100和0177是函数在导出表中的索引
我们再来分析导入地址表IAT,在0x000460A4
我们会发现此处存储的和导入名称地址内的相同,这是为什么呢,原来在程序运行后,导入地址表所指向的内容就会被操作系统改为函数的VA;
那么为什么同一段数据存储两遍呢,因为一旦IAT被修改后,如果没有INT的对照,我们无法重新找到该地址调用了哪个函数。
我们来看程序运行后,IAT的变化:
在OD数据窗口中跳转到0x000460A4,不难发现存储的是函数的地址。
总结:
通过分析 PE 导入表,我们可以发现程序依赖于哪些其他文件,以及它们如何使用这些文件中的函数。这可以帮助我们了解程序的工作原理,并对其进行静态分析。分析 PE 导入表的难点在于其结构比较复杂,手动分析它更有利于我们了解它的结构,并对它做出一些恰当的修改使得程序不会出错。
黑松山资源网 Design By www.paidiu.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
黑松山资源网 Design By www.paidiu.com
暂无评论...
RTX 5090要首发 性能要翻倍!三星展示GDDR7显存
三星在GTC上展示了专为下一代游戏GPU设计的GDDR7内存。
首次推出的GDDR7内存模块密度为16GB,每个模块容量为2GB。其速度预设为32 Gbps(PAM3),但也可以降至28 Gbps,以提高产量和初始阶段的整体性能和成本效益。
据三星表示,GDDR7内存的能效将提高20%,同时工作电压仅为1.1V,低于标准的1.2V。通过采用更新的封装材料和优化的电路设计,使得在高速运行时的发热量降低,GDDR7的热阻比GDDR6降低了70%。
更新日志
2024年05月18日
2024年05月18日
- 刘月宁《扬琴独奏-木兰辞变奏曲》[FLAC+CUE]
- 陈奕迅《48首选》[WAV分轨][1.8G]
- 林忆莲《陪着我走》 SACD DSD64[DSF][1.1G]
- 卓依婷《化蝶》2CD[WAV+CUE][1.1G]
- 刘欢范琳琳.1988-信天游迪斯科(TP版)【内蒙古音像】【WAV+CUE】
- 群星-真声音真音乐[WAV+CUE]
- 群星-《茶缘》(TeaPredestinedRelationship)[FLAC]
- RCA白头佬美国头版-斯托科夫斯基[狂想曲][WAV+CUE]
- 【ABC唱片】《春花秋月SACD-062》-WAV分轨
- [ABC唱片]-《俄罗斯三角琴》[K2-064][K2CD]WAV+CUE
- 群星《2007香港高级视听展原音精选SACD》[ISO][2.9G]
- 群星《华纳至尊金曲》2CD[FLAC][865M]
- 周杰伦《叶惠美》[WAV分轨][3.6G]
- 滚石群星.2000-超级BANDBANDBAND【滚石】【WAV+CUE】
- 群星.2016-民谣地图·拾众而歌【众乐纪】【FLAC分轨】