如何在 C 中读取导入目录表

【问题标题】:How to read Import Directory Table in C如何在 C 中读取导入目录表
【发布时间】:2013-04-04 08:03:57
【问题描述】:

我正在尝试在 C++ 中构建一个 PE 查看器,如果我尝试在导入目录表中输出库的名称,它似乎会崩溃。看来我没有得到程序使用的 DLL 的正确指针。

HANDLE handle = CreateFile("messagebox.exe",GENERIC_READ,0,0,OPEN_EXISTING,
                              FILE_ATTRIBUTE_NORMAL,0);
DWORD size = GetFileSize(handle,NULL);
PVOID virtualpointer = VirtualAlloc(NULL,size,MEM_COMMIT,PAGE_READWRITE);
state = ReadFile(handle,virtualpointer,size,&byteread,NULL);
CloseHandle(handle);
PIMAGE_NT_HEADERS ntheaders = PIMAGE_NT_HEADERS(PCHAR(vpointer) + 
                                     PIMAGE_DOS_HEADER(vpointer)->e_lfanew);
handle = GetCurrentProcess();
DWORD EntryAddr = ntheaders->OptionalHeader.ImageBase + 
                       ntheaders->OptionalHeader.AddressOfEntryPoint;

DWORD importdir = 
       (DWORD) &(ntheaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]);

DWORD va = (DWORD)(ntheaders->OptionalHeader.ImageBase) + 
                     ((PIMAGE_DATA_DIRECTORY)dwValueB)->VirtualAddress;
LPSTR libname[128];
int i =0;
while(((PIMAGE_IMPORT_DESCRIPTOR)dwValueC)->Name)
{
       // get DLL name
       libname[i] = (LPSTR)(nt->OptionalHeader.ImageBase + 
                         ((PIMAGE_IMPORT_DESCRIPTOR)dwValueC)->Name);
       i++;
}

【问题讨论】:

  • 不管其他的,你在哪里初始化nt
  • 抱歉,现在修好了
  • 您介意提供完整的代码吗?上面至少缺少一些变量声明。

标签: c++ import directory portable-executable


【解决方案1】:

要读取导入目录表中的库名称,您可以执行以下操作:

  1. 获取文件的内存映射基地址。
  2. 获取指向IMAGE_NT_HEADERS 结构的指针。

  3. 获取指向IMAGE_SECTION_HEADER 结构的指针。

  4. DataDirectory 是 OptionalHeader 的最后 128 个字节,而后者又是 PE 头 IMAGE_NT_HEADERS 的最后一个成员。 该结构有 2 个成员,其中包含数据结构的位置和大小。
    如果要查找有关 dll 名称的信息,首先从 Data Directory 中找到 Import Directory 的 RVA(相对虚拟地址),在原始节数据中找到该地址,现在您有一个 @987654331 数组@。通过检查 Name 字段指向的字符串,获取与映射图像相关的数组成员。

我不会描述便携式可执行文件格式的结构,但是您可以查看以下链接:
Peering Inside the PE
Microsoft Systems Journal

您的代码中的某些变量未声明,这很令人困惑,但我坚持使用您编写的框架代码,以便满足您的问题。

DWORD Rva2Offset(DWORD rva,PIMAGE_SECTION_HEADER psh,PIMAGE_NT_HEADERS pnt);
int _tmain(int argc, _TCHAR* argv[])
{
LPCWSTR fNmae=L"C:\\Windows\\system32\\notepad.exe";
HANDLE handle=CreateFile(fNmae/*"messagebox.exe"*/, GENERIC_READ, 0, 0, OPEN_EXISTING,  FILE_ATTRIBUTE_NORMAL, 0);
DWORD byteread,size=GetFileSize(handle, NULL);
PVOID virtualpointer=VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);
ReadFile(handle, virtualpointer, size, &byteread, NULL);
CloseHandle(handle);
// Get pointer to NT header
PIMAGE_NT_HEADERS           ntheaders=(PIMAGE_NT_HEADERS)(PCHAR(virtualpointer) + PIMAGE_DOS_HEADER(virtualpointer)-> e_lfanew);   
PIMAGE_SECTION_HEADER       pSech=IMAGE_FIRST_SECTION(ntheaders);//Pointer to first section header
PIMAGE_IMPORT_DESCRIPTOR    pImportDescriptor; //Pointer to import descriptor 
__try
{
    if(ntheaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size != 0)/*if size of the table is 0 - Import Table does not exist */
    {
        pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD_PTR)virtualpointer +\
                            Rva2Offset(ntheaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress,pSech,ntheaders));
        LPSTR libname[256];
        size_t i=0;
        // Walk until you reached an empty IMAGE_IMPORT_DESCRIPTOR
        while(pImportDescriptor->Name != NULL)
        {
            printf("Library Name   :");
            //Get the name of each DLL
            libname[i]=(PCHAR)((DWORD_PTR)virtualpointer + Rva2Offset(pImportDescriptor->Name,pSech,ntheaders));
            printf("%s\n", libname[i]);
            pImportDescriptor++; //advance to next IMAGE_IMPORT_DESCRIPTOR
            i++;

        }

    }
    else
    {
        printf("No Import Table!\n");
        return 1;
    }
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
    if(EXCEPTION_ACCESS_VIOLATION == GetExceptionCode())
    {
        printf("Exception: EXCEPTION_ACCESS_VIOLATION\n");
        return 1;
    }

}
if(virtualpointer)
    VirtualFree(virtualpointer, size, MEM_DECOMMIT);

return 0;
}
 /*Convert Virtual Address to File Offset */
DWORD Rva2Offset(DWORD rva,PIMAGE_SECTION_HEADER psh,PIMAGE_NT_HEADERS pnt)
{
    size_t i = 0;
    PIMAGE_SECTION_HEADER pSeh;
    if(rva == 0)
    {
            return (rva);
    }
    pSeh = psh;
    for(i = 0; i < pnt->FileHeader.NumberOfSections; i++)
    {
            if(rva >= pSeh->VirtualAddress && rva < pSeh->VirtualAddress +
               pSeh->Misc.VirtualSize)
            {
                    break;
            }
            pSeh++;
    }
    return (rva - pSeh->VirtualAddress + pSeh->PointerToRawData);
}

【讨论】:

  • Rva2Offset 价值一百万!非常感谢!
  • 顺便说一句,您可以在此直接链接 (download.microsoft.com/download/0/6/7/…) 上获取自 1994 年 3 月以来已存档的 Microsoft Systems Journal 以获取 PE 文章,并通过此链接浏览其余部分 (microsoft.com/msj/backissues86.aspx);你不需要,但如果你想跳进时光机……
  • 我知道这是旧的。但想知道为什么我们需要rva - pSeh-&gt;VirtualAddress + pSeh-&gt;PointerToRawData。我们不能将rva 添加到基本图像地址吗?
  • @GauravSehgal,由于部分对齐,文件偏移量与内存中的偏移量不同。 pSeh->PointerToRawData 是数据的相对文件偏移量,它完成了到基于文件偏移量的转换。
猜你喜欢
  • 1970-01-01
  • 2018-12-09
  • 2010-11-01
  • 1970-01-01
  • 2011-08-16
  • 2016-01-29
  • 2020-03-16
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode