《逆向工程核心原理》<02-13> PE文件格式 部分笔记
来源:互联网 发布:日本签证年薪十万知乎 编辑:程序博客网 时间:2024/06/08 14:28
1. RVA to RAW
RAW - PointerToRawData = RVA - VirtualAddress RAW = RVA - Virtual + PointerToRawData
2. IAT
IMAGE_OPTIONAL_HEADER-> IMPORT Table->IMPORT_DIRECTORY_TABLE (IDT)-> IMAGE_IMPORT_DESCRIPTOR (IID)-> IMPORT_NAME_TABLE (INT) // OrignalFirstThunk IMPORT_ADDRESS_TABLE (IAT) // FirstThunk
IAT 输入顺序
1. 读取IID的Name成员, 获取库名称字符串2. 装载相应库 -> LoadLibrary("xxx.dll")3. 读取IID的OrignalFirstThunk成员, 获取INT地址4. 逐一读取INT数组的值, 获取相应的IMAGE_IMPORT_BY_NAME地址(RVA)5. 使用IMAGE_IMPORT_BY_NAME的hint(ordinal)或Name项, 获取相应函数的起始地址 -> GetProcAddress("xxx")6. 读取IID的FirstThunk(IAT)成员, 获取IAT地址7. 将上面获得的函数地址输入相应的IAT数组值8. 重复以上步骤4~7, 直到INT结束(遇到NULL)注: INT中各元素的值为IMAGE_IMPORT_BY_NAME结构体指针 INT与IAT的大小应相同 IMAGE_IMPORT_BY_NAME 前2个字节为Ordinal 为库中函数的固有编号 后面的字节为函数名称字符串
3. EAT
IMAGE_OPTIONAL_HEADER-> EXPORT Table->IMAGE_EXPORT_DIRECTORY-> NumberOfFunctions NumberOfNames AddressOfFunctions AddressOfNames AddressOfNameOrdinals Base
两种寻找函数入口地址的方法
原文来自: http://www.web520.cn/archives/17730
A. 从序号查找函数入口地址
1. 定位到PE 文件头2. 从PE 文件头中的 IMAGE_OPTIONAL_HEADER32 结构中取出数据目录表,并从第一个数据目录中得到导出表的RVA3. 从导出表的 Base 字段得到起始序号4. 将需要查找的导出序号减去起始序号Base,得到函数在入口地址表中的索引,检测索引值是否大于导出表的 NumberOfFunctions 字段的值,如果大于后者的话,说明输入的序号是无效的5. 用这个索引值在 AddressOfFunctions 字段指向的导出函数入口地址表中取出相应的项目,这就是函数入口地址的RVA 值,当函数被装入内存的时候,这个RVA 值加上模块实际装入的基地址,就得到了函数真正的入口地址
B. 从函数名称查找入口地址
我想通的地方,记录下来:用函数名来查找的话,Base 的值现在没有任何意义1. 首先得到导出表的地址2. 从导出表的 NumberOfNames 字段得到已命名函数的总数,并以这个数字作为循环的次数来构造一个循环,从 AddressOfNames 字段指向得到的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名相比较,如果没有任何一个函数名是符合的,表示文件中没有指定名称的函数。3. 如果某一项定义的函数名与要查找的函数名符合,那么记下这个函数名在字符串地址表中的索引值,然后在AddressOfNamesOrdinals 指向的数组中以同样的索引值取出数组项的值,我们这里假设这个值是 x4. 最后,以 x 的值作为索引值在 AddressOfFunctions 字段指向的函数入口地址表中获取 RVA 。此 RVA 就是函数的入口地址。
C. EAT工作原理图
0 0
- 《逆向工程核心原理》<02-13> PE文件格式 部分笔记
- 《逆向工程核心原理》
- 《逆向工程核心原理》
- 逆向工程核心原理
- 《逆向工程核心原理》<03-25> 通过修改PE加载DLL
- 逆向工程核心原理学习笔记(七):总结
- 逆向工程核心原理学习笔记(十一):栈
- 逆向工程核心原理学习笔记(十四):栈帧1
- 逆向工程核心原理学习笔记(七):总结
- 逆向工程核心原理学习笔记(十一):栈
- 逆向工程核心原理学习笔记(十四):栈帧1
- 《逆向工程核心原理》<01-08> abex` crackme #2 -Check按钮处理代码的部分分析
- 《逆向工程核心原理》相关说明
- 逆向工程核心原理读书笔记-代码注入
- 逆向工程核心原理读书笔记-代码注入
- 《逆向工程核心原理》》<06> 高级逆向分析技术
- 逆向工程核心原理学习笔记1-通过IAT手工定位notepad.exe中的导入函数
- 逆向工程核心原理学习笔记2-基址重定位基本原理
- 随笔:测试移动应用的挑战
- 使用WinINet和WinHTTP实现Http访问
- 数据库复习
- mysql备份与还原数据及linux压缩文件及解压文件
- Nginx+lua 调用.so文件
- 《逆向工程核心原理》<02-13> PE文件格式 部分笔记
- 图像处理学习笔记之直方图的计算与绘制
- lightpj 1248
- git submodule的使用
- linux 对一个目录及其子目录所有文件添加权限
- HDU 2089 不要62 数位DP
- stm32 中空编码器tim4初始化
- extract-text-webpack-plugin 的使用及安装
- Android UI 相关开源框架