导入表与导出表(1)

首先说几个基本问题：
1.导入表的作用是什么？没有它exe能运行么？
作用:记录了一个exe或者一个dll所用到的其他模块导出的函数；
所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数

2.导出表的作用?没有它exe能运行么?
作用:记录了导出符号的地址,名称,与序号
(提示:exe文件中很少有导出表的,大多数dll都有导出表,某些存放资源文件的dll就没有导出表)

下面截取自笔记,便于理解导入表与导出表的关系:

 

image.png

 

image.png

3.怎样才能知道一个exe用了哪些API?
通过遍历导入表就可以知道导入了哪些dll以及dll中的哪些API

4.已知一个dll名和dll导出函数的名字,如何得到这个函数名的地址
通过Loadlibrary(GetModelHandle)将dll模块映射进内存并返回一个可以被GetProcAddress函数使用的句柄,再利用GetProcAddress得到dll的加载地址,通过遍历导出表就可以得到该函数的地址.

5.如何判断导入函数是以序号导入还是以名称导入?
在IMAGE_THUNK_DATA32这个结构体(结构体里面就是一个联合体,大小为32位)里面,判断结构体字段中的最高位,
最高位为1:以序号导入
最高位为0:以名称导入

6.怎样才能知道导出函数是以序号导出还是以名称导出?
遍历序号表,判断地址表的下标有没有存在与序号表中,存在就说明是以名称导出,不存在就说明是以序号导出
导入表几个简图(笔记中的,将就看吧):

 

image.png

 

image.png

 

image.png

 

image.png

解析导入表:

#include "stdafx.h"
#include <windows.h>



DWORD RvaToOffset( IMAGE_NT_HEADERS* pNtHdr , DWORD dwRva ) {

    // 1. 找Rva所在的区段
    // 2. 用Rva减去所在区段的首Rva ,再用减出来的差,加上所在
    //    区段的首区段偏移
    IMAGE_SECTION_HEADER* pSechdr = NULL;
    pSechdr = IMAGE_FIRST_SECTION( pNtHdr );
    for( int i = 0 ; i < pNtHdr->FileHeader.NumberOfSections; ++i ) {
        if( dwRva >= pSechdr[ i ].VirtualAddress
            && dwRva <= pSechdr[ i ].VirtualAddress + pSechdr[ i ].SizeOfRawData ) {

            dwRva -= pSechdr[ i ].VirtualAddress;
            dwRva += pSechdr[ i ].PointerToRawData;
            return dwRva;
        }
    }
    return -1;
}



int main( ) {
    
    //typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    //  union {
    //      DWORD   Characteristics;            
    //      DWORD   OriginalFirstThunk; /*保存导入函数名称表(INT)的地址（RVA）*/        
    //  } DUMMYUNIONNAME;
    //  DWORD   TimeDateStamp;
    //  DWORD   ForwarderChain;// 是否是dll转发
    //  DWORD   Name;/*导入的模块名（DLL的名字）*/
    //  DWORD   FirstThunk;/*导入函数地址表(IAT)（RVA）*/
    //} IMAGE_IMPORT_DESCRIPTOR;
    // 解析导入表
    // 1. 读取文件到内存
    printf( "请输入要解析的DLL的路径:" );
    char szPath[ MAX_PATH ];
    gets_s( szPath , MAX_PATH );

    HANDLE hFile = INVALID_HANDLE_VALUE;
    hFile = CreateFileA( szPath , GENERIC_READ , FILE_SHARE_READ ,
                         NULL , OPEN_EXISTING , FILE_ATTRIBUTE_NORMAL , NULL );
    if( hFile == INVALID_HANDLE_VALUE ) {
        printf( "文件不存在\n" );
        system( "pause" );
        return 0;
    }
    DWORD dwHeight = 0;
    DWORD dwFileSize = GetFileSize( hFile , &dwHeight );

    BYTE* pBuff = new BYTE[ dwFileSize ];

    ReadFile( hFile , pBuff , dwFileSize , &dwFileSize , NULL );

    // 2. 解析出Dos头,Nt头,扩展头
    IMAGE_DOS_HEADER* pDosHdr = NULL;
    IMAGE_NT_HEADERS* pNtHdr = NULL;
    IMAGE_OPTIONAL_HEADER* pOptHdr = NULL;
    IMAGE_DATA_DIRECTORY* pDataDir = NULL;
    IMAGE_EXPORT_DIRECTORY* pExortTable = NULL;


    pDosHdr = (IMAGE_DOS_HEADER*)pBuff;
    pNtHdr = (IMAGE_NT_HEADERS*)( (ULONG_PTR)pDosHdr + pDosHdr->e_lfanew );
    pOptHdr = &pNtHdr->OptionalHeader;

    // 3. 得到扩展头中的数据目录表
    pDataDir = pOptHdr->DataDirectory;

    // 4. 通过数据目录表中的第1个元素得到导入表的RVA
    DWORD dwImpRva = pDataDir[ 1 ].VirtualAddress;
    if( dwImpRva == 0 ) {
        printf( "没有导入表" );
        system( "pause" );
        return 0;
    }
    // 5. 将导入表的RVA转换成文件偏移
    DWORD dwImpOfs = RvaToOffset( pNtHdr , dwImpRva );

    // 6. 使用导入表结构体指针指向导入表所在的内存地址
    IMAGE_IMPORT_DESCRIPTOR* pImpTab = NULL;
    pImpTab = (IMAGE_IMPORT_DESCRIPTOR*)( dwImpOfs + (ULONG_PTR)pDosHdr );

    // 7. 遍历所有的导入表
    //    导入表是以一个全0元素作为结束的标志
    while( pImpTab->Name != 0 ) {

        // 7.1 获取这个导入所导入的DLL的名称,导入表里面的Name也是一个RVA
        ULONG_PTR dwNameOfs = RvaToOffset( pNtHdr , pImpTab->Name );
        char* pName = nullptr;
        pName = (char *)( dwNameOfs + (ULONG_PTR)pDosHdr );
        printf( "导入的DLL：%s\n" , pName );
        //IMAGE_THUNK_DATA32
        // 7.2 遍历从这个dll导入的函数名称
        DWORD dwINToffset = RvaToOffset(pNtHdr, pImpTab->OriginalFirstThunk);

        // INT ： 导入名称表
        // 这个表记录了所有导入函数名称的地址（RVA）
        // 每个地址都是4/8字节（如果是32位PE文件，就是4字节，如果是64位的PE文件就是8字节）
        ULONG_PTR* pInt = (ULONG_PTR*)( dwINToffset + (ULONG_PTR)pDosHdr );

        while( *pInt != 0 ) {
            // 导入函数有两种方式：
            // 1. 以序号导入
            // 2. 以名称导入
            // 如果INT表中保存的值，最高位是0的时候，说明这个值是一个函数名称的RVA
            // 否则这个值的低16位就是一个导入的序号。
            if( IMAGE_SNAP_BY_ORDINAL( *pInt ) ) {

                // 以序号方式导入
                // 以序号方式导入， 保存的是序号，需要只有2字节
                printf( "\t0x%04X\n" , *pInt & 0xFFFF );
            }
            else {
                // 以名称方式导入，数组保存的RVA，并非是一个字符串的RVA
                // 而是一个结构体(IMAGE_IMPORT_BY_NAME)的RVA
                IMAGE_IMPORT_BY_NAME* pImpByName = NULL;
                DWORD dwNameRva = *pInt;
                dwNameOfs = RvaToOffset( pNtHdr , dwNameRva );
                pImpByName = (IMAGE_IMPORT_BY_NAME*)( dwNameOfs + (ULONG_PTR)pDosHdr );
                printf( "\t序号:%04X,名称：%s这是以名称方式导入的\n" ,
                        pImpByName->Hint ,
                        pImpByName->Name );
            }

            // 得到下一个导入函数的名称的地址
            ++pInt;
        }
        // 得到下一个导入表的地址
        ++pImpTab;
    }  

    system( "pause" );
    return 0;
}

另外一种方式;

遍历导入表中的INT修复IAT
while (exeimport->Name != NULL) //遍历模块
{
HMODULE h_dllModule = apis.pfnLoadLibraryA((char *)(exeimport->Name + ImageBase));
PIMAGE_THUNK_DATA  import_Int = (PIMAGE_THUNK_DATA)(exeimport->OriginalFirstThunk+ImageBase);
PIMAGE_THUNK_DATA  import_IAT = (PIMAGE_THUNK_DATA )(exeimport->FirstThunk+ ImageBase);

while (import_Int->u1.Ordinal != 0) //遍历函数
{
UCHAR *buf = (UCHAR *)apis.pfnHeapAlloc(heap, HEAP_ZERO_MEMORY, 10);
buf[0] = 0xb8;
buf[5] = 0xff;
buf[6] = 0xe0;
//new char[20]{ "\xB8\x00\x00\x00\0x00\0xff\0xe0" };
DWORD opl = 0;
apis.pfnVirtualProtect((LPVOID)buf, 20, PAGE_EXECUTE_READWRITE, &opl);
if (import_Int->u1.Ordinal &0x80000000) //这里是重点！！！序号导出, 最高位为1,这里是获取最高位,如果最高位为1,就执行下面里面的语句,即
//以序号导入 ，否则以名称导入,执行else中的语句
{


//获取序号函数
LPVOID apiaddr =
apis.pfnGetProcAddress(h_dllModule, (char *)(import_Int->u1.Ordinal & 0xFFFF));

*(DWORD*)&buf[1] = (DWORD)apiaddr;  //函数写入shellcode

//DWORD funaddr = ;


apis.pfnVirtualProtect((LPVOID)(import_IAT ), 4, PAGE_EXECUTE_READWRITE, &opl);
*(DWORD*)((DWORD)import_IAT ) = (DWORD)buf; //将函数写入到iat
}
else
{
//DWORD Faddr = *(DWORD*)(import_Int->u1.AddressOfData + ImageBase);
PIMAGE_IMPORT_BY_NAME funname = (PIMAGE_IMPORT_BY_NAME)(import_Int->u1.AddressOfData+ImageBase);
LPVOID apiaddr =
apis.pfnGetProcAddress(h_dllModule, funname->Name);

*(DWORD*)&buf[1] = (DWORD)apiaddr;  //函数写入shellcode

apis.pfnVirtualProtect((LPVOID)(import_IAT), 4, PAGE_EXECUTE_READWRITE, &opl);
*(DWORD*)((DWORD)import_IAT ) = (DWORD)buf; //将函数写入到iat
//              DWORD funaddr =import_IAT->u1.Function  ;  //获取iat地址
//
//              apis.pfnVirtualProtect((LPVOID)funaddr, 4, PAGE_EXECUTE_READWRITE, &opl);
//              *(DWORD*)(funaddr) = (DWORD)buf; //将函数写入到iat
}

import_Int++;
import_IAT++;

}
exeimport++;
}

作者：bluewind1230
链接：https://www.jianshu.com/p/248feb15ee82
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。