当前位置: 首页 > backend >正文

Windows逆向工程提升之IMAGE_IMPORT_DESCRIPTOR

backend 2025/5/24 6:15:13
  • 公开视频 -> 链接点击跳转公开课程
  • 博客首页 -> ​​​链接点击跳转博客主页

目录

Import Table 概述

IMAGE_IMPORT_DESCRIPTOR 结构详解

字段解析

IMAGE_THUNK_DATA 结构

IMAGE_IMPORT_BY_NAME 结构

结构图解

Import Table 概述

在 PE 文件中,Import Table(导入表)用于指定可执行文件或动态链接库需要从其他模块(通常是 DLL 文件)加载的符号(函数或变量)。

  • Import Table 是 PE 文件中负责动态链接机制的重要结构。
  • 它定义了哪些函数(或变量)需要从外部模块加载。
  • 常见的导入模块:kernel32.dll, user32.dll 等。

IMAGE_IMPORT_DESCRIPTOR 结构详解

IMAGE_IMPORT_DESCRIPTOR 是描述 PE 文件在运行时需要从外部 DLL 中导入的函数和模块信息的一种数据结构,位于 Import Table 中。

在 Windows SDK 头文件 winnt.h 中,IMAGE_IMPORT_DESCRIPTOR 的定义如下:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {  union {  DWORD Characteristics;      // 0 for terminating null import descriptor  DWORD OriginalFirstThunk;   // RVA of _IMAGE_THUNK_DATA array  } DUMMYUNIONNAME;  DWORD TimeDateStamp;            // Time/Date stamp  DWORD ForwarderChain;           // Index of the first forwarder reference  DWORD Name;                     // RVA of the DLL name (ASCII)  DWORD FirstThunk;               // RVA of _IMAGE_THUNK_DATA array for IAT (Import Address Table)  
} IMAGE_IMPORT_DESCRIPTOR, *PIMAGE_IMPORT_DESCRIPTOR;

字段解析

字段名描述
​OriginalFirstThunk导入名称表(INT)的RVA,指向IMAGE_THUNK_DATA数组(函数名称或序号)
​TimeDateStamp绑定时间戳(若为0,表示未绑定;若为0xFFFFFFFF,表示绑定无效)
​ForwarderChain转发函数的索引(通常为0,复杂场景下用于跨DLL转发)
​NameDLL名称的RVA(如"kernel32.dll")
​FirstThunk导入地址表(IAT)的RVA,加载时系统将用实际函数地址填充此表

IMAGE_THUNK_DATA 结构

IMAGE_IMPORT_DESCRIPTOR 引用的 _IMAGE_THUNK_DATA 数组用于保存导入的函数信息。

  • 按序号导入:最高位为1时,低31位为函数序号(如0x80000001表示序号1)。
  • 按名称导入:最高位为0时,值为指向IMAGE_IMPORT_BY_NAME的RVA。

_IMAGE_THUNK_DATA 的定义如下:

typedef struct _IMAGE_THUNK_DATA {  union {  PBYTE  ForwarderString; // Pointer to string in forwarders  PDWORD Function;        // Pointer to imported function  DWORD Ordinal;          // Ordinal value  PBYTE  AddressOfData;   // RVA of IMAGE_IMPORT_BY_NAME  } u1;  
} IMAGE_THUNK_DATA32, *PIMAGE_THUNK_DATA32;

  1. ForwarderString: 字符串指针,表示转发器模块的符号名。

  2. Function: 动态加载后的函数指针。

  3. Ordinal: 按序号导入的函数(如果使用序号导入)。

  4. AddressOfData: 指向 IMAGE_IMPORT_BY_NAME 的 RVA。

IMAGE_IMPORT_BY_NAME 结构

用于描述每个导入函数的符号。

typedef struct _IMAGE_IMPORT_BY_NAME {  WORD Hint;       // 函数名称的提示序号,辅助快速查找。  BYTE Name[1];    // 函数名以 null 结尾的字符串。  
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

字段解析:

  1. Hint: 提示值,用于帮助 PE 装载器快速定位函数。

  2. Name: 函数名称的字符串。

结构图解

http://www.xdnf.cn/news/8403.html

相关文章:

  • Python入门手册:Python基础语法
  • Android12 Rom定制去掉剪贴板复制成功的Toast
  • python之数据结构与算法篇
  • vue+threeJS 创建镂空球体(SphereGeometry)
  • 进考场!软考考试现场答题的注意事项
  • echarts之漏斗图
  • vue3样式穿透用法
  • 线性代数基础
  • 消除爆红 [vue/no-unused-vars] ‘row‘ is defined but never used.eslint-plugin-vue
  • Flume之选择器:复制和多路复用(比喻化理解
  • 继电保护与安全自动装置:电力系统安全的守护神
  • 设计模式-行为型模式(详解)
  • 一、ZooKeeper:分布式系统中的隐形协调大师
  • 【图像大模型】AnimateDiff:基于扩散模型的视频生成技术解析与实践指南
  • 家政、维修等服务行业整体解决方案
  • PCB行业标准与专利竞争:高频材料与工艺壁垒
  • 大模型 Agent 就是文字艺术吗?
  • COZE工作流全场景变现新路径:小程序/网站封装集成
  • Robust Kernel Estimation with Outliers Handling for Image Deblurring论文阅读
  • 212. 单词搜索 II
  • Pytorch里面多任务Loss是加起来还是分别backward? | Pytorch | 深度学习
  • 数据结构——树
  • 快捷回复预设文本工具
  • Python字符串及正则表达式
  • 【PhysUnits】9 取负重载(negation.rs)
  • el-input宽度自适应方法总结
  • Matlab入门
  • 个人理解 火山引擎的实时对话 AI 如何利用 WebRTC、大模型、语音识别(ASR)、语音合成(TTS)等技术实现低延迟的实时对话功能。
  • PostgreSQL 数据库备份与恢复
  • 学习黑客 tcpdump