pe格式从入门到图形化显示(七)-导出表

最新推荐文章于 2024-09-05 11:35:11 发布
最新推荐文章于 2024-09-05 11:35:11 发布
阅读量302 收藏 5
点赞数 3
分类专栏: pe格式从入门到图形化显示 文章标签: windows qt c++ 数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrack/article/details/137565696
版权

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式中的导出表?

PE文件格式的导出表是PE文件中用于记录程序导出函数信息的数据结构。导出表位于数据目录表的第一项,索引值为0。导出表记录了当前文件对外开放的函数接口,使得其他程序可以通过这些接口调用该文件中的函数。

二、解析导出表并显示

1.导出表的结构

IMAGE_EXPORT_DIRECTORY结构体包含了导出表的特征、时间戳、版本号、导出函数数量、导出函数名称数量、导出函数地址表、导出函数名称表和导出函数序号表等信息。IMAGE_EXPORT_DIRECTORY的定义如下:

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

IMAGE_EXPORT_DIRECTORY中的字段包括:
Characteristics:导出表的特征值,用于描述导出表的特性。
TimeDateStamp:时间戳,表示导出表创建或最后修改的时间。
MajorVersion和MinorVersion:导出表的主次版本号,用于标识导出表的版本信息。
Name:导出表的名称,通常为一个字符串,用于描述导出表的功能或用途。
Base:导出表中函数的起始序号,用于定位导出函数在文件中的位置。
NumberOfFunctions:导出表中导出的函数数量。
NumberOfNames:以名称导出的函数数量。
AddressOfFunctions:导出函数地址表在文件中的虚拟地址。
AddressOfNames:导出函数名称表在文件中的虚拟地址。
AddressOfNameOrdinals:导出函数序号表在文件中的虚拟地址。

2.解析导出表

bool PEParser::parserFileData(const QByteArray &fileData)
{
    //判断是否是MZ开头的文件
    if (fileData.left(2) != "MZ")
    {
        return false;
    }
    //解析DOS头
    parserDOSHeader(fileData.left(sizeof(IMAGE_DOS_HEADER)));
    //DOSStub数据
    m_dosStubData = fileData.mid(sizeof(IMAGE_DOS_HEADER), m_dosHeader.e_lfanew - sizeof(IMAGE_DOS_HEADER));
    long peAddress = m_dosHeader.e_lfanew;
    if (fileData.mid(peAddress, 2) != "PE")
    {
        return false;
    }
    m_fileData = fileData;
    //去除前4个字节的PE头标识
    long fileHeaderIndex = peAddress + 4;
    //记录文件头索引
    m_fileHeaderIndex = fileHeaderIndex;
    //解析标准PE文件头
    paserFileHeader(fileData.mid(fileHeaderIndex, sizeof(IMAGE_FILE_HEADER)));
    //解析扩展PE文件头
    long optionHeaderIndex = fileHeaderIndex + sizeof(IMAGE_FILE_HEADER);
    //记录扩展PE文件头索引
    m_optionHeaderIndex = optionHeaderIndex;
    //解析扩展PE文件头
    parserOptionHeader(fileData.mid(optionHeaderIndex, m_fileHeader.SizeOfOptionalHeader));
    //解析节表
    long sectionHeaderIndex = optionHeaderIndex + m_fileHeader.SizeOfOptionalHeader;
    //节表结构在文件中开始的偏移
    m_sectionHeaderIndex = sectionHeaderIndex;
    //解析节表
    parserSectionHeader(fileData.mid(sectionHeaderIndex,
                                     m_fileHeader.NumberOfSections * sizeof(IMAGE_SECTION_HEADER)));
    //解析数据目录
    parserDataDirectory();
    //解析导出表
    parserExportTable();
    return true;
}

void PEParser::parserExportTable()
{
    DWORD address = 0;

    if (m_x86Flag)
    {
        address = m_optionalHeader32.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
    }
    else
    {
        address = m_optionalHeader64.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
    }

    if (address == 0)
    {
        return;
    }

    //将虚拟地址转换为文件地址
    RVA2FOAInfo info = RVA2FOA(address);
    //获取导出表数据
    IMAGE_EXPORT_DIRECTORY exportTable;
    memcpy(&exportTable, m_fileData.data() + info.FOA, sizeof(IMAGE_EXPORT_DIRECTORY));

    QList<DWORD> functionAddressList;
    QList<WORD> functionOrdinalsList;

    //获取导出函数序号表数据
    info = RVA2FOA(exportTable.AddressOfNameOrdinals);
    QByteArray ordinalsTempData = m_fileData.mid(info.FOA, exportTable.NumberOfFunctions * sizeof(WORD));

    //获取导出函数地址表数据
    info = RVA2FOA(exportTable.AddressOfFunctions);
    QByteArray addrTempData = m_fileData.mid(info.FOA, exportTable.NumberOfFunctions * sizeof(DWORD));

    //遍历导出表中导出函数的数据
    for (int i = 0; i < exportTable.NumberOfFunctions; ++i)
    {
        DWORD addr = 0;
        memcpy(&addr, addrTempData.data() + i * sizeof(DWORD), sizeof(DWORD));
        functionAddressList.append(addr);

        WORD ordinal = 0;
        memcpy(&ordinal, ordinalsTempData.data() + i * sizeof(WORD), sizeof(WORD));
        functionOrdinalsList.append(ordinal);
    }

    //获取导出函数名称表数据
    info = RVA2FOA(exportTable.AddressOfNames);
    QByteArray nameTempData = m_fileData.mid(info.FOA, exportTable.NumberOfFunctions * sizeof(DWORD));

    //遍历导出表中以名称导出的数据
    QList<ExportFunctionInfo> exportFunctionInfo;
    for (int i = 0; i < exportTable.NumberOfNames; ++i)
    {
        DWORD nameRVA = 0;
        memcpy(&nameRVA, nameTempData.data() + i * sizeof(DWORD), sizeof(DWORD));
        DWORD nameFOA = RVA2FOA(nameRVA).FOA;
        int index = m_fileData.indexOf('\0', nameFOA);

        ExportFunctionInfo info;
        info.name = m_fileData.mid(nameFOA, index - nameFOA);
        info.address = functionAddressList[functionOrdinalsList[i]];
        info.ordinal = functionOrdinalsList[i];
        exportFunctionInfo.append(info);
    }

    //按序号排序
    std::sort(exportFunctionInfo.begin(), exportFunctionInfo.end(), [=](const ExportFunctionInfo &info1, const ExportFunctionInfo &info2) -> bool
    {
        return info1.ordinal < info2.ordinal;
    });
    emit sendExportTable(exportFunctionInfo);
}

3.显示导出表

void MainWindow::showExportTable(const QList<ExportFunctionInfo> &exportTable)
{
    ui->tableWidget_exportTable->clearContents();
    ui->tableWidget_exportTable->setRowCount(0);
    for (int i = 0; i < exportTable.size(); ++i)
    {
        ui->tableWidget_exportTable->insertRow(i);
        ui->tableWidget_exportTable->setItem(i, 0, new QTableWidgetItem(exportTable[i].name));
        ui->tableWidget_exportTable->setItem(i, 1, new QTableWidgetItem(QString::asprintf("%08lX", exportTable[i].address)));
        ui->tableWidget_exportTable->setItem(i, 2, new QTableWidgetItem(QString::asprintf("%08lX", exportTable[i].ordinal)));
    }
}
mrack
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pe格式入门图形化显示(一)-DOS头
Mrack的博客
04-05 530
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出、资源管理和调试信息等功能。PE格式包含了四个主要的部分:头部、节区、节区和数据目录。头部包含了文件的基本信息,如文件类型、入口点和节区偏移等。
pe格式入门图形化显示(八)-导入
Mrack的博客
04-09 583
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows中,PE文件格式中的导入(Import Table)是一个关键的数据结构,它记录了程序在运行时所需调用的外部动态链接库(DLL)中的函数和变量。导入的主要作用是在程序加载时,帮助操作系统定位并加载这些外部库,以便程序能够正确地调用其中的函数和访问变量。导入由一系列_IMAGE_IMPORT_DESCRIPTOR结构组成,每个结构都包含一个指向外部库的导入地址(Import Address Table,IAT)的指针。
pe格式入门图形化显示(九)-重定位
Mrack的博客
04-10 851
通过分析和解析Windows PE格式,并使用qt进行图形化显示重定位Windows PE文件格式中的一种特殊数据结构,用于在程序加载到内存时修正地址。当程序被加载到内存时,它可能不会被加载到其预期的默认地址,而是被加载到其他地址。这就需要对程序中的地址进行重定位,以确保程序能够正确地运行。总之,重定位PE文件格式中的一种关键数据结构,它用于在程序加载到内存时修正地址,确保程序能够正确地运行。
pe格式入门图形化显示(六)-数据目录
Mrack的博客
04-07 635
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE(Portable Executable)文件格式中的数据目录是一个,它提供了关于PE文件中各种数据结构和资源的位置信息。数据目录位于PE文件头的可选头(Optional Header)部分,紧跟在标准PE头之后。PE文件格式中的数据目录总共有16个1、导出目录(Export Directory):包含有关从PE文件导出的函数和数据的信息。
pe格式入门图形化显示(十)-扩展最后一个节
Mrack的博客
04-10 328
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件中,扩大最后一个节通常是通过修改PE文件头中的节来实现的。具体来说,可以通过以下步骤来扩大最后一个节:1、打开PE文件,并读取其DOS头、NT头和节。2、找到节中的最后一个节,并计算其在文件中的偏移和大小。3、修改最后一个节的大小,使其增加所需的额外空间。这可以通过修改节中的SizeOfRawData和VirtualSize字段来实现。
B站 - 黑客攻防 入门到入狱 [网络安全] -笔记
热门推荐
bell_love的博客
06-23 3万+
cc攻击:针对应用,比如恶意刷验证码 DDoS攻击:针对服务器,比如大量的http请求,超大流量的恶意访问 ← ← ← 刮刮乐 文章目录文件上传漏洞原理实验原理实验过程webshell:菜刀详解 文件上传漏洞原理 实验原理 实验过程 实验一: 低安全模式下,上传任意类型文件,文件不大限制 实验二: 中安全模式下,绕过类型上传文件(文件MIME类型) 修改浏览器代理为BurpSuite的代理 通过BurpSuite修改Content-Type的信息,改为 image/JPEG 实验二实现原理: 实验三:
基因结构显示服务器,科学网—宏基因组注释和可视化神器MEGAN入门 - 刘永鑫的博文...
weixin_42132325的博客
08-03 3704
有时间可以写一个megan的中文教程。详细介绍软件、数据库安装,示例数据分析和结果描述。这个也引用了几千次,可以学一下。该软件还支持跨平台,我们分析在Linux和Windows上安装和测试,供不同用户选择使用。MEGAN-宏基因组功能和物种分类MEGAN用于功能和物种分类官网。这里有付费版和免费版本。我们以免费版为例。MEGAN功能简介MEGAN6是用于交互式分析微生物组数据的综合工具箱。在一个交...
生信工作流框架搭建 | 从零开始入门指南 - 00工作流之华山论剑
duoluka的博客
11-01 1875
从零开始入门生信工作流系列
Adobe Premiere Pro快速入门教程
Null的博客
03-22 5470
简介: 适用于纯新手零基础,看完本教程即可完成常用视频编辑技巧。 采用Adobe Premiere Pro 2020版本 windows10操作系统 一、制作 照片+音频+字幕的视频 首先在电脑桌面新建文件夹用于保存本项目的文件。 然后打开PE软件, 新建项目 设置项目名称及保存位置 点击确定后即可发现在刚才我们桌面新建的文件夹中有test1.prproj文件产生,项目即...
易语言PE查看器.zip易语言项目例子源码下载
03-23
1. **PE文件格式**:PE格式Windows操作系统中的标准可执行文件格式,包括头信息、节区、导入/导出、资源、重定位信息等部分。理解PE格式有助于开发者了解程序如何在内存中加载和运行,是逆向工程的基础。 2. ...
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
leetcode第142题:环形链 ||(C语言+引申问题全解)
2302_80297338的博客
09-02 489
slow一次走一步,fast一次走两步;相遇时搞个meet,再搞一个head,head和meet一起走,每次走一步;head、meet相遇处,即为结果。思路解释:当相遇时,slow走的路程:L+N;当相遇时,fast走的路程L+x*C+N。(x指fast走过的圈数,x>0)这时,可能有爱发问的读者有了疑惑:slow在1圈以内就能和fast相遇吗?答:of course。首先,slow和fast肯定能够相遇;若slow和fast相距M,那么随着两指针移动,M不断变小,直到变为0相遇。
新型PyPI攻击技术可能导致超2.2万软件包被劫持
最新发布
FreeBuf_的博客
09-05 1243
PyPI 软件包的攻击面正在不断扩大。尽管在此进行了主动干预,但用户仍应始终保持警觉,并采取必要的预防措施来保护自己和 PyPI 社区免受这种劫持技术的侵害。
学生管理系统升级(登录注册 + 关联学生管理系统)
Y0UZI的博客
08-28 740
这是在昨天的基础初代版本上面新增一个登录注册忘记密码的功能。
C++:模拟实现list
2301_80894970的博客
08-31 1259
上篇文章简单介绍了list的接口使用,那么这篇文章将通过模拟实现list以及常用接口来更好的去理解list类,观看本章前将默认读者对链的数据结构有初步的了解。list在库里是一个带哨兵位的双向循环的链结构,并且list是一个类模板并不是一个指定的类型,所以在模拟实现时需要写成模板。
手搓 Java hashmap
只会写bug的靓仔的博客
08-29 513
都知道 hashmap 是哈希,字典,这里全萌新向,至于为什么萌新向,因为我也不会,算是拷打自己对于一些流程的实现。我们先把最基础的功能实现了,后面再考虑扰动,红黑冲突树,并发安全,已经渐进式hash这些高阶功能。
JAVA集合的扩容机制
sanzailmn的博客
08-30 694
JAVA集合的扩容机制(ArrayList、LinkedList、Vector、HashMap)
Java中的Stream流
云扬的博客
09-02 916
本文主要介绍了Java中的Stream流,包括流的使用,流的几个重要中间操作,流的几个重要终止操作,使用流进行数据的处理工作。供个人学习使用。
深入解析PE文件格式:从入门到精通
4. **数据目录**:这是PE文件中重要的结构,它包含了一系列的指针和大小对,指向PE文件内的特定区域,如导入导出、资源、异常处理等。 5. **节数据**:实际的代码和数据位于节中,根据节的指示进行组织...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mrack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值