对Osloader.exe进行分析 查找e_lfanew,IMAGE_EXPORT_DIRECTORYAddressOfFunctions

最新推荐文章于 2021-10-29 21:50:12 发布
最新推荐文章于 2021-10-29 21:50:12 发布
阅读量1k 收藏
点赞数
分类专栏: 操作系统 文章标签: osloader
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lawliet_233/article/details/78493645
版权

1.使用winhex打开从NTLDR中提取出的oslader.exe

这里写图片描述

2.查找e_lfanew

这里写图片描述

3.查找IMAGE_EXPORT_DIRECTORY->AddressOfFunctions

这里写图片描述

通过上图我们可以得出,导出表的RVA是 000357B0h ,Size是 000006AFh。

这里写图片描述

这里写图片描述

我们借助LordPE可以确定在哪个区段表中, 因为导出表的RVA是000357B0h 是大于00031000h 但是小于00036000h,所以可以得到在.rdata区段表中。

文件偏移 = RVA - VOffset + ROffset
= 000357B0 - 00031000 + 0002F000
= 000337B0

在Winhex中使用alt+G ->输入文件偏移地址 000337B0 —-取40个字节

这里写图片描述

000337C0这一行 第1个2F000000是函数数量,第2个2F000000是函数名称数量

计算偏移
AddressOfFunctions: 0x000357D8
000357D8 -00031000 + 0002F000=337D8

alt+G 输入下面的在5中的偏移(AddressOfFunctions 的值)

这里写图片描述

跳转到337D8这一行,从FC150000开始圈2F组数据,便得到了2F个函数地址

得到的是函数的地址的RVA,再进行转换后,获取到函数的内容

4.Osloader.exe是否有导入表?

这里写图片描述

这里写图片描述

用LordPE和PETool 两个工具都查看一下,发现的确没有导入表。

这里写图片描述

分析:在OsLoader的初始化文件中,可以看到并没有导入表,只有导出表的初始化。

参考了这个博客:http://blog.csdn.net/oBuYiSeng/article/details/50231677

Lawliet_233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结8---PE文件结构之导出表 (IMAGE_EXPORT_DIRECTORY
oBuYiSeng的博客
12-09 2309
导出表由3个部分构成:  名称表,   函数表,   序号表。   名称表和序号表就是索引,引导调用者找到真正的函数表。   函数表中保存着被导出函数的地址信息    导出表在内存中的顺序是按照输出名称来确定的。     IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri
NikPEViewer_01v.zip
03-15
逆向工程是安全分析和软件调试的重要技术,通过对PE文件的深入理解,我们可以更好地分析程序行为,查找潜在的安全漏洞,或者学习软件设计原理。NikPEViewer这样的工具极大地简化了这一过程,使得非专业人士也能窥见...
提取NTLDR文件,分解Osloader.exe;pe文件找e_lfanewIMAGE_EXPORT_DIRECTORY->AddressOfFunctions
MrLeaper 的博客
09-27 1275
1.1找出NTLDR文件。 NTLDR文件位于xp操作系统c盘的根目录下,不过要先设置可以查看隐藏的系统文件。 将这一栏去掉,之后就找到了。 1.2分解osloader.exe 将NTLDR文件放入winhex; 然后找到MZ段; 在此处添加alt+1,文件尾部添加alt+2,此部分就是osloader.exe。 然后右键'edit
IMAGE_EXPORT_DIRECTORY
夜空中最亮的星
10-30 2651
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //creation time date stamp WORD MajorVersion; WORD MinorVersion; DWORD Name; //address of library file
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表
pjz969的专栏
02-26 3780
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出表就是记载着动态链接库的一些导出信息。通过导出表,DLL 文件
Windows PE导出表编程2(重组导出表函数地址)
天使也掉毛
12-19 2691
Windows PE导出表编程2(重组带出表函数地址)
跨进程_API_Hook
08-09
IMAGE_NT_HEADERS* pinh = (IMAGE_NT_HEADERS*)((DWORD)hCurrent + pidh->e_lfanew); IMAGE_DATA_DIRECTORY* pSymbolTable = &pinh->OptionalHeader.DataDirectory[1]; IMAGE_IMPORT_DESCRIPTOR* piid = (IMAGE_...
delphi 判断 exe 是否是 x64位可执行文件
11-20
在Delphi编程环境中,开发人员有时需要确定一个可执行文件EXE)是32位还是64位。这是因为不同的操作系统版本和处理器架构对可执行文件有不同的要求。本篇文章将详细探讨如何使用Delphi来检查一个EXE文件是否为64位...
P.E.文件格式示意图
05-30
其中最重要的是e_lfanew字段,它指向PE头的偏移地址。 2. **DOS Stub** DOS_STUB是一个可选的小程序,当在DOS环境下运行时执行,通常只用来显示上述错误消息。在Windows系统中,这个区域通常被忽略。 3. **NT ...
delphi 在内存中直接运行EXE类型的资源文件
09-09
if Len < SrcMz._lfanew + Sizeof(TImageNtHeaders) then exit; SrcPeH := pointer(Integer(SrcMz) + SrcMz._lfanew); if (SrcPeH.Signature <> IMAGE_NT_SIGNATURE) then exit; if (SrcPeH.FileHeader....
NTDETECT文件
06-22
NTDETECT.EXE的病毒。这种病毒会进入C盘根目录并形成一个NTDETECT.EXE文件;而在默认情况下,Windows系统是不显示扩展名的(就是把NTDETECT.EXE以及NTDETECT.COM都显示为NTDETECT),如此一来,这个病毒就伪装成了系统文件(用户在C盘下会看到两个NTDETECT文件,NTDETECT.EXE就伪装成了NTDETECT.COM 。一般中了这个病毒就会循环的自动重启,并提示NTDETECT失效!
Telemecanique Unity Pro OSLoader用户手册-2006-CN.pdf
09-20
Telemecanique Unity Pro OSLoader用户手册-2006-CNpdf,Telemecanique Unity Pro OSLoader用户手册-2006-CN
导出表 IMAGE_EXPORT_DIRECTORY
Ghjhfssfgk的博客
01-28 365
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
导出函数结构 EXPORT_DIRECTORY
dengjiatao9832的博客
09-21 134
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //输出表的创建时间 WORD MajorVersion; //输出表的主版本号。未使用设置为0 WORD Mi...
11.PE文件之导出表(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5381
目录 导出表定位以及解析(手动) 代码定位导出表并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出表 PE中的导出表通常存在于动态链接库文件里.有些EXE也会存在导出表.导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入表中登记的与该动态链接库相关的由INT指
[PE结构分析] 9.导出表 IMAGE_EXPORT_DIRECTORY
weixin_33933118的博客
08-16 173
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
根据函数名称导出函数
VSavitar的博客
08-20 930
根据函数名称导出函数指针的方法
关于在OsLoader.exe中写文件的问题
10-25 1483
test 
_get_next_member_name怎么实现
最新发布
06-09
`_get_next_member_name` 函数的实现需要用到一些Windows API,具体来说是 `ImageNtHeader`、`ImageDirectoryEntryToData`、`ImageRvaToVa` 等函数。以下是一个简单的实现示例代码: ```c++ #include <Windows.h> #include <DbgHelp.h> const char* _get_next_member_name(const char* className, size_t* offset) { const char* memberName = nullptr; IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)GetModuleHandle(nullptr); IMAGE_NT_HEADERS* pNTHeader = (IMAGE_NT_HEADERS*)((DWORD_PTR)pDosHeader + pDosHeader->e_lfanew); IMAGE_SECTION_HEADER* pSectionHeader = IMAGE_FIRST_SECTION(pNTHeader); for (int i = 0; i < pNTHeader->FileHeader.NumberOfSections; i++) { if (strcmp((char*)pSectionHeader->Name, ".rdata") == 0) { DWORD_PTR rdataBase = (DWORD_PTR)GetModuleHandle(nullptr) + pSectionHeader->VirtualAddress; DWORD_PTR rdataEnd = rdataBase + pSectionHeader->Misc.VirtualSize; PIMAGE_SECTION_HEADER pRdataHeader = pSectionHeader; PIMAGE_SECTION_HEADER pRsrcHeader = pSectionHeader + 1; DWORD_PTR rsrcBase = (DWORD_PTR)GetModuleHandle(nullptr) + pRsrcHeader->VirtualAddress; DWORD_PTR rsrcEnd = rsrcBase + pRsrcHeader->Misc.VirtualSize; IMAGE_RESOURCE_DIRECTORY* pRootDirectory = (IMAGE_RESOURCE_DIRECTORY*)rsrcBase; IMAGE_RESOURCE_DIRECTORY_ENTRY* pRootEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pRootDirectory + 1); int typeOffset = 0x0; IMAGE_RESOURCE_DIRECTORY* pTypeDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pTypeEntry = nullptr; IMAGE_RESOURCE_DIRECTORY* pNameDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pNameEntry = nullptr; IMAGE_RESOURCE_DIRECTORY* pLanguageDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pLanguageEntry = nullptr; for (int rootIndex = 0; rootIndex < pRootDirectory->NumberOfIdEntries + pRootDirectory->NumberOfNamedEntries; rootIndex++) { if (pRootEntry[rootIndex].NameIsString) { IMAGE_RESOURCE_DIR_STRING_U* pName = (IMAGE_RESOURCE_DIR_STRING_U*)(rsrcBase + pRootEntry[rootIndex].NameOffset); if (wcsncmp(pName->NameString, L"TYPEINFO", pName->Length) == 0) { typeOffset = pRootEntry[rootIndex].OffsetToDirectory; break; } } } if (typeOffset > 0) { pTypeDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + typeOffset); pTypeEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pTypeDirectory + 1); for (int typeIndex = 0; typeIndex < pTypeDirectory->NumberOfIdEntries + pTypeDirectory->NumberOfNamedEntries; typeIndex++) { if (!pTypeEntry[typeIndex].NameIsString) { if (pTypeEntry[typeIndex].Id == 0x7) { pNameDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + pTypeEntry[typeIndex].OffsetToDirectory); pNameEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pNameDirectory + 1); for (int nameIndex = 0; nameIndex < pNameDirectory->NumberOfIdEntries + pNameDirectory->NumberOfNamedEntries; nameIndex++) { if (pNameEntry[nameIndex].NameIsString) { IMAGE_RESOURCE_DIR_STRING_U* pName = (IMAGE_RESOURCE_DIR_STRING_U*)(rsrcBase + pNameEntry[nameIndex].NameOffset); if (strcmp((char*)pName->NameString, className) == 0) { pLanguageDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + pNameEntry[nameIndex].OffsetToDirectory); pLanguageEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pLanguageDirectory + 1); for (int languageIndex = 0; languageIndex < pLanguageDirectory->NumberOfIdEntries + pLanguageDirectory->NumberOfNamedEntries; languageIndex++) { if (!pLanguageEntry[languageIndex].NameIsString) { DWORD_PTR symbolAddress = (DWORD_PTR)ImageDirectoryEntryToData(GetModuleHandle(nullptr), TRUE, IMAGE_DIRECTORY_ENTRY_EXPORT); PIMAGE_EXPORT_DIRECTORY pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)symbolAddress; DWORD_PTR* pFuncAddress = (DWORD_PTR*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfFunctions); DWORD_PTR* pNameAddress = (DWORD_PTR*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfNames); WORD* pOrdinalAddress = (WORD*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfNameOrdinals); DWORD_PTR classVTableAddress = 0; for (int i = 0; i < pExportDirectory->NumberOfFunctions; i++) { if (strcmp((char*)(symbolAddress + pNameAddress[i]), className) == 0) { classVTableAddress = (DWORD_PTR)pFuncAddress[pOrdinalAddress[i]]; break; } } if (classVTableAddress > 0) { DWORD_PTR* pVTable = (DWORD_PTR*)*(DWORD_PTR*)classVTableAddress; int memberIndex = 0; while (true) { DWORD_PTR* pMemberAddress = (DWORD_PTR*)(pVTable[memberIndex]); if (*pMemberAddress == 0) { break; } if (*pMemberAddress >= rdataBase && *pMemberAddress < rdataEnd) { DWORD_PTR memberOffset = *pMemberAddress - rdataBase; if (memberOffset == *offset) { memberName = (const char*)(pMemberAddress + 1); *offset += sizeof(DWORD_PTR); break; } } memberIndex++; } } } if (memberName != nullptr) { break; } pLanguageEntry++; } } } if (memberName != nullptr) { break; } pNameEntry++; } } } if (memberName != nullptr) { break; } pTypeEntry++; } } break; } pSectionHeader++; } return memberName; } ``` 需要注意的是,由于这个函数的实现依赖于一些Windows API,因此在使用前需要先添加相关的头文件和库文件,并且在调用该函数时需要保证程序已经加载了相关的模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值