4
我找到了「導入表格」字段的指針。它的大小爲8個字節,分爲虛擬地址和大小。然而,虛擬地址字段中的值很大,並且誤導了我爲提取與導入表相關條目的下落有關的任何信息。值是否指向偏移量,如果是這樣(.exe)文件在達到所需的偏移量之前完成。在PE(.exe)中導入表格
A
回答
9
目錄表中導入目錄的RVA(相對虛擬地址)必須有效。也許你把它轉換成物理偏移是有問題的。當然,這是通過遍歷節表來找到包含部分。然後從目標RVA中減去該部分的起始RVA。然後只需將該部分的物理偏移量添加到該結果中。這會給你在導入目錄文件中的位置。如果您正在使用磁盤上的文件,經常需要從RVA轉換爲物理偏移量。如果使用內存映像,有時保護實用程序會修改或銷燬內存中部分PE頭以阻止轉儲。
一旦你進入導入目錄,你仍然有更多的工作要做。一個快速的谷歌顯示了比我可能寫在這裏更好的解釋:http://sandsprite.com/CodeStuff/Understanding_imports.html
我是現在'經典'PECompact,PEBundle(現在已停產),和其他PE操作實用程序的作者。
相關問題
- 1. 如何從PE標準(.exe)中提取導出表格
- 2. 從PE導入表中獲取DLL的完整路徑
- 3. 圍繞PE(.exe)的Java包裝
- 4. 如何在EXE中查找PE部分和IL代碼?
- 5. 如何使用C#更改PE導入地址表?
- 6. 在front-page.php中導入聯繫表格
- 7. RODBC - 導入表格
- 8. 關於PE在Windows中的入口點
- 9. Laravel maatwebsite excel導入並顯示在HTML表格中導入excel?
- 10. 鏈接pe-i386引導區
- 11. 打印PE文件導入表中第一個條目的名稱
- 12. 如何導入XML表格Google表格
- 13. 如何映射文件中的EXE其PE部分
- 14. PE格式的自檢
- 15. 如何從PE模塊的導出表中讀取名稱?
- 16. 加入表格和導軌
- 17. C++ PE注入 - 來自遠程位置的EXE文件(例如HTTP)
- 18. Access中的簡單導入表格
- 19. PE header入口點RVA
- 20. 導出/導入表格函數
- 21. Rails和電子表格導入/導出
- 22. 在Delphi中寫入EXE
- 23. 在wxpython中嵌入.exe
- 24. 導入大型excel表格/ google表格的導軌
- 25. edmx在第一個字母大寫的表中導入表格
- 26. 在pe header中打印iat
- 27. 在表格行中插入表格行
- 28. 分析用於代碼膨脹的.exe/.dll(Windows PE)文件
- 29. 確定MZ EXE結束的位置,並且LE/LX/PE開始
- 30. python exe文件導入錯誤
從某人那裏得到的+1需要太長時間才能得到PE的支持:) – 2011-03-25 23:14:50
你能舉一個如何用十六進制編輯器找到導入目錄的例子嗎? – iYonatan 2015-11-20 14:43:53
我可以,但爲什麼你要在地球上手動遍歷一個複雜的數據結構,如便攜式可執行文件?除了學習的目的。即使是逆轉,也有很多工具可以扭轉PE結構(以及更多)。無論如何,基本上它只是發現並遵循由文件規範/數據規範設計的地址處的RVA,並將其導入到導入表中。 – 2016-09-24 03:25:49