导入表编程-枚举导入表
導入表編程-枚舉導入表
思路:
首先導入表的RVA地址,就在optional?Header的DataDirectory的第二個元素中。通過它我們定位到導入表。
導入表類似一個二級索引。一級是一個模塊目錄(IMAGE_IMPORT_DESCRIPTOR數組,這里把目錄理解為一個以全0字節(jié)為結束的數組),它的每個元素代表了一個DLL。二級是導入地址表IAT(即?IMAGE_THUNK_DATA?數組,一個指針數組),每個元素指向一個?IMAGE_IMPORT_BY_NAME結構(該結構含有一個函數序號和一個函數名稱字符串)。
總結一下,我們的定位過程:
(1)通過?NtHeaders.OptionalHeader.DataDirectory[1].VirtualBase?-->?定位到導入表(IID?Table)。
(2)遍歷每個?IID,直到遇到全0為止。
通過?IID.Name?->?定位到?DLL?名字。
通過?IID.OriginalFirstThunk?或者?FirstThunk?->?定位到IAT?(?image_thunk_data32[]?);
遍歷指針目錄,知道遇到NULL為止。
通過?thunk_data.AddressOfData?->?定位到一個?IMAGE_IMPORT_BY_NAME?的地址,再根據它尋址到真正的函數序號和函數名稱。
?
代碼:
// C++Test.cpp : 定義控制臺應用程序的入口點。 //#include "stdafx.h" #include "stdafx.h" #include <stdio.h> #include <windows.h> #include <Dbghelp.h> //ImageRvaToVa #pragma comment(lib, "Dbghelp.lib")int main(int argc, char* argv[]){ int i, j; HANDLE hFile = CreateFile(L"C:\\A.exe", //PE文件名 GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);if(hFile == INVALID_HANDLE_VALUE){ printf("Create File Failed.\n"); return 0; }HANDLE hFileMapping = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);if (hFileMapping == NULL || hFileMapping == INVALID_HANDLE_VALUE) { printf("Could not create file mapping object (%d).\n", GetLastError()); return 0; }LPBYTE lpBaseAddress = (LPBYTE)MapViewOfFile(hFileMapping, // handle to map object FILE_MAP_READ, 0, 0, 0);if (lpBaseAddress == NULL) { printf("Could not map view of file (%d).\n", GetLastError()); return 0; }PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpBaseAddress; PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)(lpBaseAddress + pDosHeader->e_lfanew);//導入表的rva:0x2a000; DWORD Rva_import_table = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;if(Rva_import_table == 0){ printf("no import table!"); goto UNMAP_AND_EXIT; }//這個雖然是內存地址,但是減去文件開頭的地址,就是文件地址了 //這個地址可以直接從里面讀取你想要的東西了PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)ImageRvaToVa( pNtHeaders, lpBaseAddress, Rva_import_table, NULL );//減去內存映射的首地址,就是文件地址了。。(很簡單吧) printf("FileAddress Of ImportTable: %p\n", ((DWORD)pImportTable - (DWORD)lpBaseAddress));//現在來到了導入表的面前:IMAGE_IMPORT_DESCRIPTOR 數組(以0元素為終止) //定義表示數組結尾的null元素! IMAGE_IMPORT_DESCRIPTOR null_iid; IMAGE_THUNK_DATA null_thunk; memset(&null_iid, 0, sizeof(null_iid)); memset(&null_thunk, 0, sizeof(null_thunk));//每個元素代表了一個引入的DLL。 for(i=0; memcmp(pImportTable + i, &null_iid, sizeof(null_iid))!=0; i++){ //LPCSTR: 就是 const char* LPCSTR szDllName = (LPCSTR)ImageRvaToVa( pNtHeaders, lpBaseAddress, pImportTable[i].Name, //DLL名稱的RVA NULL);//拿到了DLL的名字 printf("-----------------------------------------\n"); printf("[%d]: %s\n", i, szDllName); printf("-----------------------------------------\n");//現在去看看從該DLL中引入了哪些函數 //我們來到該DLL的 IMAGE_TRUNK_DATA 數組(IAT:導入地址表)前面 PIMAGE_THUNK_DATA32 pThunk = (PIMAGE_THUNK_DATA32)ImageRvaToVa( pNtHeaders, lpBaseAddress, pImportTable[i].OriginalFirstThunk, //【注意】這里使用的是OriginalFirstThunk NULL);for(j=0; memcmp(pThunk+j, &null_thunk, sizeof(null_thunk))!=0; j++){ //這里通過RVA的最高位判斷函數的導入方式, //如果最高位為1,按序號導入,否則按名稱導入 if(pThunk[j].u1.AddressOfData & IMAGE_ORDINAL_FLAG32){ printf("\t [%d] \t %ld \t 按序號導入\n", j, pThunk[j].u1.AddressOfData & 0xffff); }else{ //按名稱導入,我們再次定向到函數序號和名稱 //注意其地址不能直接用,因為仍然是RVA! PIMAGE_IMPORT_BY_NAME pFuncName = (PIMAGE_IMPORT_BY_NAME)ImageRvaToVa( pNtHeaders, lpBaseAddress, pThunk[j].u1.AddressOfData, NULL);printf("\t [%d] \t %ld \t %s\n", j, pFuncName->Hint, pFuncName->Name); } } }UNMAP_AND_EXIT: //關閉文件,句柄。。 UnmapViewOfFile(lpBaseAddress); CloseHandle(hFileMapping); CloseHandle(hFile); getchar(); return 0; }
【注意】在上面的代碼中使用的是?OriginalFirstThunk?,對于沒有事先綁定的PE文件來說,?OriginalFirstThunk?和?FirstThunk?是并行的內容相同的數組。但是對于已經經過綁定的PE文件來說,?FirstThunk?數組中的元素會被設置成真正的函數地址(VA)!因此如果這時用?FirstThunk?數組嘗試獲取函數名稱是得不到的。所以上面的代碼應該使用?OriginalFirstThunk?,這樣無論對于綁定還是未綁定的PE文件,都能夠定向到相應的函數名稱。
?
運行結果:
對應源文件信息:
?
?
?
總結
以上是生活随笔為你收集整理的导入表编程-枚举导入表的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 通过修改EIP寄存器实现强行跳转并且注入
- 下一篇: 虚拟桌面模拟查找点击自绘控件