笔记:PE结构(6）导出表解析

Q324411601

已于 2022-09-01 16:08:39 修改

阅读量304

点赞数

文章标签： windows

于 2022-09-01 12:46:25 首次发布

本文链接：https://blog.csdn.net/Q324411601/article/details/126638813

版权

导出表位置在可选头成员:

0x60 _IMAGE_DATA_DIRECTORY DataDirectory[16]; 有16个目录每个目录占8个字节

第一个目录：导出表结构

IMAGE_DIRECTORY_ENTRY_EXPORT

struct _IMAGE_DATA_DIRECTORY {

0x00 DWORD VirtualAddress; 导出表的内存地址偏移，RAV

0x04 DWORD Size; 导出表的大小，没有意义，导出表有自己的方式约定它有多大

};

VirtualAddress; 导出表的内存地址偏移(RAV),根据这个值，去找真正的导出表在哪里.这个 VirtualAddress 是拉伸后的内存偏移，如果在文件中寻找则需要把这个值转换成foa再去寻找。

（之前的拉伸只是为了练习方便，实际对文件的操作，只需要一个文件缓冲区，用RVA转换成FOA，然后进行操作。对已经运行在内存中程序操作则不需要转换，用模块地址+这个偏移即可）

Size;

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Q324411601

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
笔记:PE结构(6）导出表解析

笔记:PE结构(6）导出表解析
复制链接

扫一扫

C/C++ 实现ShellCode编写与提取

CSDN

07-16

9794

简单来说，shell code 的核心就是把代码写成 “与地址无关” 的风格，让它不论是在什么环境下都可以被执行。使用 Release 模式写代码，这是因为 Debug 模式下的代码在转换成汇编后首先都是一个 jmp，然后再跳到我们的功能代码处，但 jmp 指令是 “地址相关” 的，所以在转换成 shellcode 时就会出错！简单来说，shell code 的核心就是把代码写成 “与地址无关” 的风格，让它不论是在什么环境下都可以被执行。这就是我们需要的 ShellCode 了 (oﾟvﾟ)ノ。

滴水三期：day34.2-数据目录

Edimade的博客

05-04

924

一、数据目录概述>二、作业（1.编程输出全部目录项）

参与评论您还未登录，请先登录后发表或查看评论

PE文件结构详解（三）PE导出表

zdwcmy的专栏

06-17

348

上篇文章PE文件结构详解（二）可执行文件头的结尾出现了一个大数组，这个数组中的每一项都是一个特定的结构，通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数，DataDirectory中的每一项都可以用这个函数获取，函数原型如下： PVOID NTAPI RtlImageDirectoryEntryToData(PVOID Base, BOOLEAN MappedAsImage, USHORT Directory, PULONG Size); Base：模块基地址..

PE文件解析--导出表

qq_31125257的博客

12-22

1378

1、定位导出表可选pe头中的最后一个字段：数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。上面 Vi

PE导出表，C语言打印导出表信息【滴水逆向三期49笔记＋作业】

最新发布

WdIg-2023的博客

03-22

783

我们前面在学习PE文件结构的时候，在可选PE头里跳过了最后一项，为一个有16个元素结构体数组，我们称它为数据目录。今天我们来学习数据目录的第一个结构：导出表。

Python学习笔记：分支结构

12-22

1. 单分支结构单分支结构即只有一个分支，如下，有两种方式实现 guess = eval(input()) if guess == 99: print("猜对了") if True: print("条件正确") 2. 二分支结构 2.1定义根据判断条件结果而选择...

数据结构笔记：栈

01-20

分类目录——数据结构笔记](https://blog.csdn.net/bbjg_001/category_9753496.html) 栈（stack），有些地方也成为堆栈，是一种容器，可存储元素、访问元素、删除元素，他的特点是值能允许在容器的一段（称之为栈顶...

数据结构笔记：二分查找

12-22

分类目录——数据结构笔记只能作用于有序的顺序表上又折半查找对比序列的中间值，小于该值从左序列中二分查找，大于该值从右序列中二分查找，直到查找到目标值或子序列只有一个元素截止实现递归实现 def binary...

ExportToMd:为知笔记Markdown文件导出插件

05-02

为知笔记导出MarkDown插件，只支持MarkDown格式文档导出。步骤1.克隆项目到本地2.复制ExportToMd文件夹到数据存储目录下的Plugins目录中3.配置导出的markdown文件和图片目录路径参数4.重新启动程序5.导出文档日志...

如何正确的导出符号表-PLC学习笔记

07-26

文章主要介绍如何正确的导出符号表的方法，感兴趣的朋友可以看看。

代码保护软件VMProtect用户手册之内置脚本的使用（2）——PE文件

励志做最业余的专业博主，控件产品可以私我~

09-27

445

VMProtect是一种很可靠的工具，可以保护应用程序代码免受分析和破解，但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下，才能实现最好的效果。//返回给定地址的部分。//返回具有给定名称的导出函数。//返回给定地址的元素。//返回带有给定索引的导入函数。//返回具有给定名称的资源。//返回具有给定名称的资源。//返回具有给定索引的体系结构。//返回具有给定名称的库。//返回给定类型的目录。//返回给定类型的资源。//返回具有给定索引的目录。//返回具有给定索引的导出函数。

PE文件之移动导出表(自学笔记)

Sanshul的博客

12-22

314

PE文件之移动导出表(自学笔记)

导出表 IMAGE_EXPORT_DIRECTORY

Ghjhfssfgk的博客

01-28

361

typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用，总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用，总为0 WORD MinorVersion; ...

编写PE文件解析器（三）

当我在写代码的时候我在写什么

10-24

2975

下面有几个表网上资料比较少，因为几乎用不到，我查文档写写吧，这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】 CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组，根据文件头的Machine来确定结构，64位用IMAGE_IA64_RUNT

PE文件格式中数据目录项中的导出表和模拟GetProcAddress

qq_35426012的博客

11-15

398

导出表导出表的概念记录了导出符号(函数或变量)的地址,名称,与序号的集合的一张表位导出表导出表的作用通过导出表来分析不认识的动态库文件所提供的功能向调用者提供导出函数指令在模块中的起始地址，也就是API GetProcAddress的功能导出表有对应导出函数的地址，所以可以通过导出表来修正导入表的IAT地址导出表的结构体定义导出表在数据目录项的第0项 IMAGE_DIREC...

PE结构导出表详细解析

huobengle

01-27

512

只码重点 DLL导出方式：按名称导出： 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出： LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出： LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...

【转载】遍历pe导出表

weixin_30830327的博客

06-16

138

optional头的最后一个域是一个数组列表，该数组大小为16，元素为IMAGE_DATA_DIRECTORY,至于以后平台是否会增加，说不清楚，但是FileHeader中明确给出了该数组的大小。该数组表的第一个元素就是指向输出表的。而输出表的定义如下：typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; D...

遍历导出表

IDoubleTong的博客

02-28

689

1.通过DOS头部找到PE头部 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;DOS头部的数据结构如下： _IMAGE_DOS_HEADER +0x000 e_magic : Uint2B +0x002 e_cblp : Uint2B +0x004 e_cp : Uint2B +0x006 e_crlc

PE解析导出表

跃然实验室

06-10

228

PE文件头文件——数据目录表导出目录位于数据目录表的起始位置指向的地址指向导入表 1、函数名称字符串所在地址的RVA值 2、导出函数名对应的导出序号 3、导出序号对应的导出函数地址RVA值解析导出表步骤： 1、找到导出目录，通过导出目录定位到导出表的文件偏移。 2、查看导出表结构第七个成员（NumberOfFu...