Генерация таблицы импорта (PE, exe)

<Gh0St> · 27.06.2014, 14:43

Всем привет!
Возник вопрос: как самостоятельно сгенерировать таблицу импорта в PE файле?
Пусть функции не будут использоваться, главное, чтобы числились в импорте, вместе с DLL'ками.

От Гугла толку мало.
В двух замечательных статьях есть информация об импорте:
1) Статическое детектирование файлов: Часть 1
2) От зеленого к красному
Но по генерации не всё понятно.

На следующих двух рисунках представлен разбор таблицы импорта простейших бинарников. Надеюсь, нигде не ошибся.

Рисунок 1

Рисунок 2

Проблема заключается в том, что не понятно, как считать RVA.
Например (см. рис. 2), первый DWORD (структура IMAGE_THUNK_DATA32) - это RVA до структуры IMAGE_IMPORT_BY_NAME (ф-ия GetTickCount).
Чтобы получить RVA, нужно знать, по какому смещению будет находится структура IMAGE_IMPORT_BY_NAME. Адрес начала секции известен.
Но разместить структуру IMAGE_IMPORT_BY_NAME можно лишь после IMAGE_THUNK_DATA32.

В итоге получается такая ерунда: чтобы узнать X, нужно знать Y, но, чтобы узнать Y, нужно узнать X.

Теоретически, можно вместо RVA в IMAGE_THUNK_DATA32 поставить метку, например, 0x41414141. А после размещения IMAGE_IMPORT_BY_NAME, заменить метку на реальный RVA. Но как тогда узнать, какая метка к какой структуре IMAGE_IMPORT_BY_NAME относится? Не говоря уже о других проблемах.

Походу, всё это ерунда и я вообще копаю не в ту сторону.

Подскажите, как правильно генерировать таблицу импорта?
Благодарю.

<Gh0St> · 02.07.2014, 18:24

157 просмотров, и ни одного ответа.
Неужели никто не интересуется такими вопросами?

<Gh0St> · 04.07.2014, 15:38

Впрочем, не важно, сам разобрался.
Тему можно удалять.

Alex V · 20.07.2014, 00:50

Цитата:

Сообщение от <Gh0St>

157 просмотров, и ни одного ответа.
Неужели никто не интересуется такими вопросами?

мне интересно хД

27.06.2014, 14:43	#1
<Gh0St> Регистрация: 22.03.2012 Сообщений: 75 Репутация: 19	Генерация таблицы импорта (PE, exe) Всем привет! Возник вопрос: как самостоятельно сгенерировать таблицу импорта в PE файле? Пусть функции не будут использоваться, главное, чтобы числились в импорте, вместе с DLL'ками. От Гугла толку мало. В двух замечательных статьях есть информация об импорте: 1) Статическое детектирование файлов: Часть 1 2) От зеленого к красному Но по генерации не всё понятно. На следующих двух рисунках представлен разбор таблицы импорта простейших бинарников. Надеюсь, нигде не ошибся. Рисунок 1 Рисунок 2 Проблема заключается в том, что не понятно, как считать RVA. Например (см. рис. 2), первый DWORD (структура IMAGE_THUNK_DATA32) - это RVA до структуры IMAGE_IMPORT_BY_NAME (ф-ия GetTickCount). Чтобы получить RVA, нужно знать, по какому смещению будет находится структура IMAGE_IMPORT_BY_NAME. Адрес начала секции известен. Но разместить структуру IMAGE_IMPORT_BY_NAME можно лишь после IMAGE_THUNK_DATA32. В итоге получается такая ерунда: чтобы узнать X, нужно знать Y, но, чтобы узнать Y, нужно узнать X. Теоретически, можно вместо RVA в IMAGE_THUNK_DATA32 поставить метку, например, 0x41414141. А после размещения IMAGE_IMPORT_BY_NAME, заменить метку на реальный RVA. Но как тогда узнать, какая метка к какой структуре IMAGE_IMPORT_BY_NAME относится? Не говоря уже о других проблемах. Походу, всё это ерунда и я вообще копаю не в ту сторону. Подскажите, как правильно генерировать таблицу импорта? Благодарю. __________________ - Про опыт говорят: "Мы так свои ошибки называем"

02.07.2014, 18:24	#2
<Gh0St> Регистрация: 22.03.2012 Сообщений: 75 Репутация: 19	157 просмотров, и ни одного ответа. Неужели никто не интересуется такими вопросами? __________________ - Про опыт говорят: "Мы так свои ошибки называем"

04.07.2014, 15:38	#3
<Gh0St> Регистрация: 22.03.2012 Сообщений: 75 Репутация: 19	Впрочем, не важно, сам разобрался. Тему можно удалять. __________________ - Про опыт говорят: "Мы так свои ошибки называем"

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид