解析导入表和IAT表

最新推荐文章于 2026-03-08 00:13:52 发布
原创 最新推荐文章于 2026-03-08 00:13:52 发布 · 2k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细解析了PE文件中的导入表(Import Table)和IAT(Import Address Table)表的结构和作用。导入表用于记录程序对外部DLL函数的依赖,IAT在程序运行时被操作系统填充为实际函数地址。通过示例代码,展示了如何编程读取并打印导入表信息,揭示了绑定导入的现象。

一、导入表的结构

导入表的结构看起来复杂,其实只是套娃,不要被它吓到了。
导入表的定义如下:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    };
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date\time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)

    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;

其中比较重要的是 OriginalFirstThunk, Name 和 FirstThunk。
OriginalFirstThunk 是指向INT表的RVA,FirstThunk 是指向IAT表的RVA,Name是DLL的文件名。
INT表和IAT表在文件中是完全一样的(前提是没有绑定导入)。
INT表的结构是这样的:
在这里插入图片描述

IMAGE_THUNK_DATA 是一个4字节的数据,如果最高位是1,那么低31位就是函数的导出序号;如果最高位是0,那么它的值是一个RVA,指向一个 IMAGE_IMPORT_BY_NAME 结构。

typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

其中低地址的Hint是导出序号,然而这个值可能并不准确,有些编译器会把它设置成0,我们只需要关注 Name,这个是一个以0结尾的字符串,表示函数名。

如果没有提前绑定函数地址,IAT表和INT表在文件中存储的数据是完全一样的。

二、导入表和IAT表的作用

EXE和DLL要使用其他DLL的函数,需要说明用到了哪些函数,导入表就是存储这些外部函数的函数名或导出序号的结构。使用了多少个DLL,就有多少个导入表。

IAT表可以认为是导入表的“子表”,因为导入表里的 FirstThunk 属性就是IAT表的RVA。EXE如果调用了DLL的函数,CALL 指令后面跟的地址其实是指向IAT表里的某个位置,运行之前在文件中的时候,IAT表和INT表一样,里面存储的要么是函数名,要么是导出序号。加载的时候操作系统会把IAT表里的值修改成函数真正在DLL中的地址,具体步骤是:
操作系统首先将exe和所有dll加载到4GB虚拟内存中,然后遍历导入表,根据DLL名字调用LoadLibrary获取模块句柄HMODULE,然后调用GetProcAddress获取函数地址,然后将函数地址写入到IAT表里。

三、解析导入表

编程打印导入表里的数据,包括DLL文件名,INT表和IAT表的数据。

// 打印导入表
VOID PrintImportTable(LPVOID pFileBuffer)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)(pDosHeader->e_lfanew + (DWORD)pDosHeader + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	
	PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pFileBuffer + \
		RvaToFoa(pFileBuffer, pOptionHeader->DataDirectory[1].VirtualAddress));

	// 严格来说应该是 sizeof(IMAGE_IMPORT_DESCRIPTOR) 个字节为0表示结束
	while (pImportTable->OriginalFirstThunk || pImportTable->FirstThunk)
	{
		// 打印模块名
		printf("%s\n", (LPCSTR)(RvaToFoa(pFileBuffer, pImportTable->Name) + (DWORD)pFileBuffer));
		// 遍历INT表(import name table)
		printf("--------------OriginalFirstThunkRVA:%x--------------\n", pImportTable->OriginalFirstThunk);		
		PIMAGE_THUNK_DATA32 pThunkData = (PIMAGE_THUNK_DATA32)((DWORD)pFileBuffer + \
			RvaToFoa(pFileBuffer, pImportTable->OriginalFirstThunk));
		while (*((PDWORD)pThunkData) != 0)
		{
			// IMAGE_THUNK_DATA32 是一个4字节数据
			// 如果最高位是1,那么除去最高位就是导出序号
			// 如果最高位是0,那么这个值是RVA 指向 IMAGE_IMPORT_BY_NAME
			if ((*((PDWORD)pThunkData) & 0x80000000) == 0x80000000)
			{
				printf("按序号导入 Ordinal:%04x\n", (*((PDWORD)pThunkData) & 0x7FFFFFFF));
			}
			else
			{
				PIMAGE_IMPORT_BY_NAME pIBN = (PIMAGE_IMPORT_BY_NAME)(RvaToFoa(pFileBuffer, *((PDWORD)pThunkData)) + \
					(DWORD)pFileBuffer);
				
				printf("按名字导入 Hint:%04x Name:%s\n", pIBN->Hint, pIBN->Name);
			}
			pThunkData++;
		}
		// 遍历IAT表(import address table)
		printf("--------------FirstThunkRVA:%x--------------\n", pImportTable->FirstThunk);		
		pThunkData = (PIMAGE_THUNK_DATA32)((DWORD)pFileBuffer + \
			RvaToFoa(pFileBuffer, pImportTable->FirstThunk));
		while (*((PDWORD)pThunkData) != 0)
		{
			// IMAGE_THUNK_DATA32 是一个4字节数据
			// 如果最高位是1,那么除去最高位就是导出序号
			// 如果最高位是0,那么这个值是RVA 指向 IMAGE_IMPORT_BY_NAME
			if ((*((PDWORD)pThunkData) & 0x80000000) == 0x80000000)
			{
				printf("按序号导入 Ordinal:%04x\n", (*((PDWORD)pThunkData) & 0x7FFFFFFF));
			}
			else
			{
				PIMAGE_IMPORT_BY_NAME pIBN = (PIMAGE_IMPORT_BY_NAME)(RvaToFoa(pFileBuffer, *((PDWORD)pThunkData)) + \
					(DWORD)pFileBuffer);
				
				printf("按名字导入 Hint:%04x Name:%s\n", pIBN->Hint, pIBN->Name);
			}
			pThunkData++;
		}
		pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImportTable + sizeof(IMAGE_IMPORT_DESCRIPTOR));
	}	
}

运行结果:
打印ipmsg.exe的运行结果
在这里插入图片描述
在这里插入图片描述

打印notepad.exe的结果
在这里插入图片描述
可以发现notepad在文件中IAT表和INT表是不一样的,它已经提前将DLL中的函数地址写死进去了。这个是绑定导入。

四、完整代码

https://blog.csdn.net/Kwansy/article/details/106234264

hambaga
关注
IAT注入模块
07-30
对应于文章的IAT注入模块的示例,自己写的例子,直接可以运行。
IAT详解
cay22的专栏
02-05 8445
http://blog.163.com/ljm1113@126/blog/static/57984452201201485318443/   IAT详解 IAT的全称是Import Address Table。 对于每一个引入的可执行文件(例如dll),有一个镜像引入描述符(IMAGE_IMPORT_DESCRIPTOR)。 typedef struct _IMAGE_IMPORT_D
滴水三期:day39.1-IAT导入
Edimade的博客
04-16 1244
一、引入IAT(1.调用自己写的函数 > 2.调用DLL中的函数 > 3.易错误区)二、导入(1.导入是什么 > 2.定位导入 > 3.导入结构 > 4.IATINT > 5.总结)三、作业(1.打印程序运行前的导出
《Windows PE》4.1.3 IAT函数地址
bcdaren的博客
10-04 1236
如果导入描述符的TimeDateStampForwarderChain字段是一个特殊的标志值,如0xFFFFFFFF,导入函数已绑定,则IAT函数地址中存储的是真实的导入函数地址。在程序加载时,操作系统会根据导入描述符中的INTIAT进行动态链接,将导入函数的实际入口地址填充到IAT中的函数指针对应的位置。IAT就是用来存储这些实际的函数入口地址。首先找到数据目录项的第12项,获取IAT函数地址的RVA地址,加上基址后,得到并输出加载到内存中的IAT函数地址的VA地址。
导入解析IAT解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 1285
我们再上一章节简要介绍了IAT,我们知道如果程序调用dll中的函数时,必须通过IAT来找到函数,我们基本了解了IAT之后,我们今天来讲解一下导入,通过本章节的学习,我们可以了解导入,也能对IAT有一个更深入的了解。
滴水逆向三期实践16:IAT导入
Rivival_S 的博客
11-09 3542
IAT 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
PE导入IAT的原理及工作关系
qq_35289660的博客
07-14 8408
PE导入IAT的原理及工作关系 文章目录PE导入IAT的原理及工作关系0.说明1.PE导入IAT大致工作关系(1)为什么会有IAT(2)为什么会有导入2.导入IAT的真正关系(原理)(1)OriginalFirstThunk(2)Name(3)FirstAddress3.C语言解析导出(1)建议(2)C源代码4.移动导出到新增节区(1)流程(2)我遇到的困难(3)C源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 观看滴水
PE文件结构:导入
WolvenSec的博客
01-15 1281
①。
第四讲,数据目录导入,以及IAT
weixin_30924087的博客
08-05 309
    一丶IAT(地址) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 它会Call 下边的Jmp位置 而Jmp位置则是对一个全局变量取内容. 看下全局变量内容是什么. 我们跟过去看下 75 98 FD AE 可以看出,这个位置保存了一张格,这张格保存的是MessageBoxA的函数地址. ...
一个给新手进阶的IAT加密壳
2401_84466227的博客
05-27 1199
这篇文章中介绍了IAT加壳与解壳的全过程,并用Ollydbg进行逆向分析,说明这个壳的鸡肋的之处,最后给出了核心源代码。
IAT
crkres9527
09-27 717
A、初识IAT     B、IAT相关结构     C、读出IAT项     D、编写代码测试分析       E、HOOK IAT     F、测试分析 A、认识IAT 导入函数 B、IAT相关结构 PIMAGE_DOS_HEADER //->e_lfanew //PE文件头偏移值 PIMAGE_NT_HEADERS //->OptionalHeade...
程序员的自我修养(7)Windows平台IAT与INT
个人技术博客
10-20 863
存储外部符号的实际地址utils.dlladdglobalutils.dlladdutils.dllglobalutils.dll:存储外部符号的标识信息utils.dll。
PE文件学习笔记(五):导入IAT、绑定导入解析
热门推荐
Apollon_krj的博客
08-19 1万+
1、导入(Import Descriptor)结构解析导入是记录PE文件中用到的动态连接库的集合,一个dll库在导入中占用一个元素信息的位置,这个元素描述了该导入dll的具体信息。如dll的最新修改时间、dll中函数的名字/序号、dll加载后的函数地址等。而一个元素即一个结构体,一个导入即该结构体的数组,其结构体如下所示:typedef struct _IMAGE_IMPORT_DESCR
手把手教你用Scylla修复Mp3Resizer.exe的IAT(附脱壳完整流程)
最新发布
weixin_29315569的博客
03-08 125
本文详细解析了使用Scylla工具修复Mp3Resizer.exe导入地址IAT)的完整脱壳流程。针对新手在修复IAT时常见的“未知库文件”难题,提供了从定位OEP、内存转储到精准修复IAT的清晰步骤,并重点讲解了如何识别并移除无效导入项,确保脱壳后的程序可稳定运行。
IAT是如何实现的
zzx的博客
12-16 2475
我们知道当程序要调用系统dll时,会用到IAT 具体是怎么实现的呢, 假设我们程序中某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址中是一个jmp [A],A中存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A中存放的数据,而不是A本身,A中存放的数据
PE格式第四讲,数据目录导入,以及IAT
weixin_30682127的博客
10-13 276
           PE格式第四讲,数据目录导入,以及IAT 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶IAT(地址) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 他会Call 下边的Jmp位置 而Jmp位置...
C/C++ 导入IAT内存修正
LYSHARK
09-17 8535
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入的脱壳修复等。关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点让其暂停在OEP位置,此时程序已经在内存解码,同时也可以获取到程序的OEP位置,转储就是将程序原封不动的读取出来并放入临时空间中,然后对空间中的节OEP以及内存对齐进行修正,最后将此文件在内存保存出来即可。
详解PE文件(八):导入
geesehoward20000的博客
11-19 634
导入是PE文件格式中用于记录程序依赖外部函数的信息的数据结构。当程序需要调用外部DLL中的函数时,这些函数的名称所在DLL的信息就存储在导入中。Windows加载器在加载程序时会根据导入中的信息加载相应的DLL,并将函数的实际地址填入程序的导入地址中。导入是PE文件格式中一个关键的组成部分,它使得Windows程序能够使用外部DLL提供的功能。通过导入,程序可以动态链接到所需的库函数,实现模块化设计代码重用。理解导入的结构工作原理对于程序分析、逆向工程恶意软件分析等工作具有重要意义。
[PE结构分析] 8.输入结构输入地址IAT
whl0071的专栏
08-08 319
[PE结构分析] 8.输入结构输入地址IAT
IAT结构分析
playmaker的博客
03-13 806
IAT结构分析 IAT介绍 解决兼容问题(不同机器的dll版本不同,地址自然不同),操作系统就必须提供一些措施来确保可以在其他版本的Windows操作系统,以及DLL版本下也能正常运行。 这时IAT(Import Address Table:输入函数地址)就应运而生了。 IAT定位 手工寻找 利用PEview找到程序的NT头的可选头内有个import table此处记录了其RVA。 根据结构体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值