2. 程式人生 > >PE檔案格式學習(十六):延遲載入表

PE檔案格式學習(十六):延遲載入表

阿新 發佈:2018-11-11

1.介紹

延遲載入表本質上跟繫結匯入表的目的是一樣的,都是為了加快程式載入檔案的速度,只不過方法不一樣。
延遲載入是指在呼叫某個DLL時才去載入,目的是為了避免在程式啟動之初就載入了不必要的DLL而浪費了時間。微軟建議在兩種情況下使用延遲載入:

  1. 程式並非在啟動時就會呼叫DLL裡面的函式
  2. 程式未必會呼叫該DLL裡面的函式

延遲載入表不是系統支援的一個特性,它是由編譯器控制的。

2.分析

我們還是使用之前使用過的程式:Win7下的mspaint.exe。這個程式的延遲載入表的RVA是85ccch,轉換成offset是850cch:

它的結構體是:

typedef struct ImgDelayDescr {  
    DWORD        grAttrs;       
    RVA          rvaDLLName;     
    RVA          rvaHmod;       
    RVA          rvaIAT;       
    RVA          rvaINT;      
    RVA          rvaBoundIAT;  
    RVA          rvaUnloadIAT; 
    DWORD        dwTimeStamp;   
    } ImgDelayDescr, * PImgDelayDescr;

grAttrs:延遲匯入結構的屬性,0x1為新版本,0x0為老版本,對應上圖中的0x00000001

rvaDLLName:dll名字的RVA,對應上圖的0x85d40,轉為offset是0x85140,下圖是對應的dll名

rvaHmod:dll控制代碼的RVA,對應上圖的0x8bd78

rvaIAT:IAT表的RVA,對應上圖的0x8a000

rvaINT:INT表的RVA,對應上圖的0x85d4c

rvaBoundIAT:繫結匯入表的RVA,對應上圖的0

rvaUnloadIAT:原始IAT的可選拷貝的RVA,對應上圖的0

dwTimeStamp:延遲載入DLL的時間戳,通常為0

相關推薦

PE檔案格式學習延遲載入

1.介紹 延遲載入表本質上跟繫結匯入表的目的是一樣的,都是為了加快程式載入檔案的速度,只不過方法不一樣。 延遲載入是指在呼叫某個DLL時才去載入,目的是為了避免在程式啟動之初就載入了不必要的DLL而浪費了時間。微軟建議在兩種情況下使用延遲載入: 程式並非在啟動時就會呼叫D

PE檔案格式學習繫結匯入

1.介紹 繫結匯入表的作用是加快程式的啟動速度,一個PE程式在啟動時會去載入匯入表中的dll檔案,並將匯入表的FirstThunk指向的陣列填入函式的真實地址,這需要耗去時間,繫結匯入表中儲存了匯入函式的真實地址,所以當PE在啟動時系統檢測到有繫結匯入表,就會直接將地址填入FirstThunk裡,這樣就省去

PE檔案格式學習TLS

1.介紹 TLS全稱執行緒區域性儲存器,它用來儲存變數或回撥函式。 TLS裡面的變數和回撥函式都在程式入口點(AddressOfEntry)之前執行,也就是說程式在被除錯時,還沒有在入口點處斷下來之前,TLS中的變數和回撥函式就已經執行完了,所以TLS可以用作反除錯之類的操作。

opencv學習超大影象二值化

超大影象二值化的方法         1.可以採用分塊方法;2.先縮放處理就行二值化,然後還原大小。 一:分塊處理超大影象的二值化問題 #匯入cv模組 import cv2 as cv import numpy as np #超大影象二值化 de

opencv學習影象的二值化

影象二值化介紹:https://blog.csdn.net/qq_30490125/article/details/80458500                       &nbs

SODBASE CEP學習CEP與資料庫互動

一些時候出於專案需求或複用,需要將CEP和資料庫結合起來用。SODBASE CEP可以很好地支援這型別需求。本文將介紹CEP與資料庫互動的兩種常用方式。 1. 示例操作 (1)為示例操作簡單,下載Oracle Express Edition (11g) Windows版,

PE檔案格式學習異常

1.概述 x86系統採用動態的方式構建SEH結構,相比而言x64系統下采用靜態的方式處理SEH結構,它儲存在PE檔案中,通常在.pdata區段。因此本文的例子採用x64編譯過的程式。 異常表在資源表的後面。 2.異常表解析 資料目錄表的第四個元素指向異常表,RVA指向的是

PE檔案格式學習總體結構

1.概述 PE檔案分為幾個部分,分別是: DOS頭 DOS Stub NT頭(PE頭) 檔案頭 可選頭 區段頭(一個數組,每個元素都是一個結構體,稱之為IMAGE_SECTION_HEADER) .text .rdata .data .rs

PE檔案格式學習匯出

1.回顧 上篇文章中介紹過,可選頭中的資料目錄表是一個大小為0x10的陣列,匯出表就是這個陣列中的第一個元素。 我們再回顧下資料目錄表的結構體: struct _IMAGE_DATA_DIRECTORY {     DWORD VirtualAddress;    

PE檔案格式學習概述

1.PE檔案簡介 PE檔案格式是Windows系統中應用最廣泛的檔案格式之一,我們常見的可執行檔案.exe、動態連結庫.dll以及驅動檔案.sys等都是PE檔案格式的。 可以通過十六進位制工具如010editor檢視PE檔案,可以看到PE檔案都有一個共同的特點,就是它們的最開頭都是4D5A,也就是ASCI

PE檔案格式學習十三載入配置

1.介紹 載入配置表早期是用於描述當PE檔案頭或PE可選頭無法描述或者因為太大而無法描述的各種功能。 後來以XP及以後的系統主要是為了儲存SEH控制代碼,稱為安全結構化異常處理程式列表,如果SEH異常處理沒有經過註冊,在載入配置表中沒有控制代碼,這個異常處理就不會被執行。 具體的例子就不演示了,看起來只要是

PE檔案格式學習基址重定位

1.簡介 基址重定位表位於資料目錄表中的第六個,它位於安全表的後面。 這個表的作用是用來索引那些需要重定位的資料的。當系統發現DLL的真實載入基址跟PE檔案中的ImageBase中的值不一樣時,就會啟用基址重定位表修復一些資料的地址。我們知道一個程式中可能包含多個DLL,因此有可

PE檔案格式學習安全

1.介紹 如果一個應用程式有數字簽名,那麼它的安全表就不會為空。它位於異常表的後面。 2.安全表解析 通過資料目錄表裡提供的RVA,我們轉換成offset,找到了安全表的位置,如下: 安全表的結構體如下: typedef struct _WIN_CERTIFIC

PE檔案格式學習資源

1.概述 程式內部和外部的介面等元素的二進位制資料統稱為資源,程式把它們放在一個特定的表中,符合資料和程式分離的設計原則。 Windows程式中的資源大致分為六類:選單、對話方塊、點陣圖、游標、圖示、自定義資源 資源表是資料目錄表中的第三個元素,排在匯入表的後面。 2.資

PE檔案格式學習匯入

UPDATE: 在文章的末尾更新了一張圖,在網上找的,有助於理解匯入表的結構 1.概述 匯入表是逆向和病毒分析中比較重要的一個表,在分析病毒時幾乎第一時間都要看一下程式的匯入表的內容,判斷程式大概用了哪些功能。 匯入表是資料目錄表中的第2個元素,排在匯出表的

【轉】 JMeter學習JMeter函數學習

blog 自動 當前 3.2 add 函數的調用 瀏覽器 con 保存 JMeter函數是一些能夠轉化在測試樹中取樣器或者其他配置元件的域的特殊值。一個函數的調用就像這樣:${_functionName(var1,var2,var3)},-functionName匹配函數名

Java學習筆記static關鍵字

ima 關鍵字 static關鍵字 es2017 java學習筆記 sta com 筆記 nbsp Java學習筆記(十六):static關鍵字

Linux學習VIM

etc es2017 移動 進行 ges code inux nbsp 安裝 一、簡介 VIM是vi的增強版。VIM是Linux平臺上的主要編輯器。基本上所有的文檔的新增,修改,保存都需要用到它。所以,掌握VIM是很有必要的。 vim的安裝非常簡單,一條命令就可以了: y

R語言學習筆記處理缺失值

ima 結果 cti img dataset case prop .com log #識別缺失值 install.packages("VIM") data(sleep,package="VIM") #列出沒有缺失值的行 sleep[complete.case

Python學習內置函數,遞歸

font ID lam 效率 ascii碼 span 自帶 打印 十六 1、遞歸 def test1(): num=int(input(‘輸入數字‘)) if num%2==0: #判斷輸入數字是不是偶數 return True #是偶數