PE结构- 导入表

之前的笔记搬运

0x1 导入表结构

导入表位于PE文件中的数据目录数组下标为1的位置

1
2
3
4
5
6
7
8
9
10
IMAGE_IMPORT_DESCRIPTOR STRUCT          
    union 
        Characteristics           DWORD   ?   
        OriginalFirstThunk        DWORD   ? 	 
    ends 
    TimeDateStamp                 DWORD   ? 
    ForwarderChain                DWORD   ? 
    Name                          DWORD   ? 
    FirstThunk                    DWORD   ?
IMAGE_IMPORT_DESCRIPTOR ENDS

OriginalFirstThunk:指向IMAGE_THUNK_DATA结构数组的RVA,也被称为INT,
IMAGE_THUNK_DATA数组里每个成员是指向一个IMAGE_IMPORT_BY_NAME的结构的RVA,
IMAGE_IMPORT_BY_NAME里存放的是一个无用的WORD量和输入函数的名称, 具体见0x2与0x3

TimeDateStamp:该字段可以忽略。如果那里有绑定的话它包含时间/数据戳(time/data
stamp)。如果它是0,就没有绑定在被导入的DLL中发生。

在最近,它被设置为0xFFFFFFFF以表示绑定发生。

ForwarderChain:一般情况下我们也可以忽略该字段。在老版的绑定中,它引用API的第一个forwarder
chain(传递器链表)。

它可被设置为0xFFFFFFFF以代表没有forwarder。

Name: 指向DLL 名称的RVA, 如kernel32.dll, 用于PE加载器loadlibrary

FirstThunk: 指向IMAGE_THUNK_DATA结构数组的RVA, 其内容在程序未运行下,
OriginalFirstThunk内容一样,
但是在程序运行后会被填充为对应函数的地址也被称为IAT

0x2 IMAGE_THUNK_DATA

1
2
3
4
5
6
7
8
typedef struct _IMAGE_THUNK_DATA32 {
    union {
        PBYTE  ForwarderString;
        PDWORD Function;
        DWORD Ordinal;
        PIMAGE_IMPORT_BY_NAME  AddressOfData;
    } u1;
} IMAGE_THUNK_DATA32;

ForwarderString 指向一个转向者字符串的RVA;

Function 被输入的函数的内存地址;

Ordinal 被输入的API的序数值

AddressOfData 指向IMAGE_IMPORT_BY_NAME

这4个成员是一个共用体, 在不同情况下代表不同的数据

IMAGE_THUNK_DATA32的值表示一个输入函数,这个值最高位为1的时候,
表示函数是一个序号输出值, 低31位会被看做API的导出序号, 当最高位为0时,
这时候这个值是一个指向IMAGE_IMPORT_BY_NAME结构的RVA

0x3 IMAGE_IMPORT_BY_NAME

1
2
3
4
typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

Hint: 无用的WORD量

Name[1]: 指向一个输入函数字符串的指针, NULL结尾

0x4 系统加载导入表的过程

1
2
3
4
5
6
7
8
9
10
11
1) 首先检查当前导入表FirstThunk这个字段指向的内容是否为空
   a) 为空则跳过当前导入表, 寻找下一个导入表的FirstThunk继续判断, 直至不为空

2) Loadlibrary载入Name字段指向的名称的库, 如kernel32等等

3) 检查OriginalFirstThunk是否为空
  a) 不为空则用GetProcAddress获取OriginalFirstThunk指向的函数名称的地址, 填充至对应FirstThunk下标指向的位置
  b) 为空则用GetProcAddress获取FirstThunk指向的函数名称的地址, 填充至对应FirstThunk下标指向的位置


(因为在OriginalFirstThunk不为0的情况,在运行前FirstThunk和OriginalFirstThunk都是指向同样一个结构的数组, 数组成员数, 和内容都是一样, 如果OriginalFirstThunk为0的情况下, 则直接读取自身下标内容函数地址后直接填充自身)

总结:

1.导入表其实是一个IMAGE_IMPORT_DESCRIPTOR的数组,每个导入的DLL对应一个IMAGE_IMPORT_DESCRIPTOR。

2.IMAGE_IMPORT_DESCRIPTOR包含两个IMAGE_THUNK_DATA数组,数组中的每一项对应一个导入函数。

3.加载前OriginalFirstThunk与FirstThunk的数组都指向名字信息,加载后FirstThunk数组指向实际的函数地址。

感谢大佬

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒... || 你是本博第 位访客 || 历经 次回眸才与你相遇

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一个拼命生存, 却又想要追求自由的人儿;