笔记:PE结构(6)导出表解析

已于 2022-09-01 16:08:39 修改 138 收藏 1
文章标签: windows
于 2022-09-01 12:46:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Q324411601/article/details/126638813
版权

导出表位置在可选头成员:

0x60 _IMAGE_DATA_DIRECTORY DataDirectory[16]; 有16个目录 每个目录占8个字节
第一个目录:导出表结构
IMAGE_DIRECTORY_ENTRY_EXPORT
struct _IMAGE_DATA_DIRECTORY {
0x00 DWORD VirtualAddress; 导出表的内存地址偏移,RAV
0x04 DWORD Size; 导出表的大小,没有意义,导出表有自己的方式约定它有多大
};
VirtualAddress; 导出表的内存地址偏移(RAV),根据这个值,去找真正的导出表在哪里.这个 VirtualAddress 是拉伸后的内存偏移,如果在文件中寻找 则需要把这个值转换成foa再去寻找。
之前的拉伸只是为了练习方便, 实际对文件的操作 ,只需要一个文件缓冲区,用RVA转换成FOA,然后进行操作。对已经运行在内存中程序操作 则不需要转换,用模块地址+这个偏移即可
Size; 导出表的大小,没有意义,导出表有自己的方式约定它有多大,这个值把它任意改掉也不会影响程序的运行.
真正的导出表结构:
struct _IMAGE_EXPORT_DIRECTORY {
0x00 DWORD Characteristics;//未使用
0x04 DWORD TimeDateStamp;//时间戳
0x08 WORD MajorVersion;//未使用
0x0a WORD MinorVersion;//未使用
0x0c DWORD Name; 指针(Rva),指向导出表文件名字 字符串.  xx.dll 
0x10 DWORD Base; 导出函数起始序号
0x14 DWORD NumberOfFunctions; 所有导出函数的个数
0x18 DWORD NumberOfNames; 以函数名导出的函数个数
0x1c DWORD AddressOfFunctions; 
0x20 DWORD AddressOfNames; 
0x24 DWORD AddressOfNameOrdinals; 
};
AddressOfNames; 指针 (Rva偏移,用程序开始的地址加上这个值,得到真正指针) 指向函数名称表
                   开始地址(申请的内存/模块句柄/ImageBase)+ AddressOfNames:
该地址存着dll或EXE所有导出函数名字的地址
函数1名字地址   (宽度4字节)RVA
函数2名字地址   (宽度4字节)RVA
函数3名字地址   (宽度4字节)RVA
.....
AddressOfFunctions;  指针 (Rva偏移,用程序开始的地址加上这个值,得到真正指针) 指向函数地
址表
                   开始地址(申请的内存/模块句柄/ImageBase)+ AddressOfFunctions;
该地址存着dll或EXE所有导出函数的入口地址
函数1入口地址   (宽度4字节)RVA
函数2入口地址   (宽度4字节) RVA
函数3入口地址   (宽度4字节)RVA
.....
AddressOfNameOrdinals;指针 (Rva偏移,用程序开始的地址加上这个值,得到真正指针) 指向函数序号表
                   开始地址(申请的内存/模块句柄/ImageBase)+ AddressOfNameOrdinals
该地址存着dll或EXE所有导出函数的序号  
函数1序号值   (宽度2字节)  序号值+Base;才是真正的导出序号
函数2序号值   (宽度2字节)  
函数3序号值   (宽度2字节)
.....

注意:函数序号这个表并不是该程序的所有导出序号都在里面,该表是给函数名字用来找函数地址索引用的.所以它的长度(列表数)与函数名称表的长度(列表数)是一样的,这也是为什么用真正的序号查找函数地址表的时候 不用管这个表的原因。

以上三个表不一定互相对应:

NumberOfNames;以函数名导出的函数个数,这个表有可能比函数地址表大(可以两个一样的名字指向一个地址),有可能比它小(因为有的是通过序号导出的,没有名字)

名字表和序号表的长度(列表数)是一样的

NumberOfFunctions; (就是一个值)所有导出函数的个数,决定表有多大,遍历时候的次数。

函数地址表 有时不一定代表真正导出函数的个数(39:49),dll导出函数序号被修改成乱序后,表的大小=序号最大值-序号最小值+1,这个表中没有对应的导出序号的地址,会被填充0.所以说这个表里面的地址是有0的

6-2+1=5  但实际上它只有4个,如果序号中间没有断档的话 这个数量是对的,有断档的话地址表里就会有0

用函数名字找函数地址:

1.先找函数名字表,把从函数名字地址(开始地址+RVA)里读出函数的名字,与要找的名字进行对比,(要考虑没有找到这个名字的处理方式,return -1   0是列表第一个行号 没找到不要返回0),直到找到后,获取当前表的行号

2.用该行号去序号表,读取对应行的序号值,把这个序号值当做函数地址的列表索引 ,去函数地址表取地址,就好了.

导出序号(序号+BASE)找函数地址:

1.先用要找的序号-BASE,得到的结果 当做函数地址表的列表索引,直接去函数地址表里找就好了

倒序查找:

用函数地址查找函数名:

根据当前函数地址在表的索引值,遍历序数表,对比序数表地址对应的值,第几行(列表索引)里面装的是这个索引值(函数地址表的索引),然后用这个列表索引,去函数名称表,读取函数名称地址,再用函数名称地址获取到函数名  (注意以上很多地址都是RVA,不再强调)

批量遍历查询注意事项:

 能在序数表中找到对应的函数地址表的列表索引 说明一定是函数名称导出的,如果函数地址表中的地址是0,则直接过掉,说明是个无效地址,再遍历表中的下一个地址.需要注意的是0占用了一个表索引号,在遍历下一个地址时 索引值要+1,不要忽略。不然后面的结果都会错误

如果在序数表中找不到对应的值,则代表不是函数名字导出的,可以通过

 索引值+Base=该函数的真正导出序号.

Q324411601
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
数据结构笔记:单向链
12-22
原文地址 分类目录——数据结构笔记 离散存储,手拉手,每一块有指向下一块的指针(形象描述,python中没有指针),就好像形成了一条链 一个元素包括两部分:value 和 next 链与顺序都是线性 知识点补充 b = 20 a = 'achar' a = b # 在python中,所有的变量保存的都是值的地址(就相当于c语言中的指针) # 等号右边示执行,=b中的b就是执行,根据值的地址取到b的值,就成了a=20,而这时的操作,是把20的地址返给a;也因此,在python中,之前给a的字符串变量可以在之后换成int的变量,这次其他语言中是不能实现的。 # 等号实质上是改变了数据指向
PE文件解析--导出
qq_31125257的博客
12-22 1022
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
解析导出
tscg_的博客
04-03 45
假设现在有一个exe程序使用了一个dll,对于这个exe程序而言,dll文件就相当于一个黑盒子,里面装的内容exe一点也不清楚。所以什么是导出导出就是dll的一份清单,里面记录了它有多少个函数,函数的地址等相关信息补充:exe并不是没有导出,而是大部分exe没有导出另外,数据目录有16个,其中第一个就是导出
PE文件基础(不全还在补全) V1.0
dohxxx的博客
10-05 352
PE的基本概念 地址: PE中设计的地址有四类: 1.虚拟内存地址(VA): 用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA), 所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址 2,相对虚拟内存(...
PE-导出
megaparsec
12-19 494
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
PE结构】由浅入深PE基础学习-菜鸟手动查询导出、相对虚拟地址(RVA)与文件偏移地址转换(FOA)...
weixin_30274627的博客
05-28 536
0 前言 此篇文章想写如何通过工具手查导出PE文件代码编程过程中的原理。文笔不是很好,内容也是查阅了很多的资料后整合出来的。希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献。因为了解PE文件格式知识点对于逆向破解还是病毒分析都是很重要的,且基于对PE文件格式的深入理解还可以延伸出更多非常有意思的攻防思维。 1 导出查询工具 1 ) dumpbin VS自带的工具,...
23. PE结构-PE详解之输出导出
墨痕诉清风的博客
03-05 2661
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
PE文件学习笔记(三):导出(Export Table)解析
Apollon_krj的博客
08-17 5703
数据目录(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十六个元素分别存储了不同信息,分别是:导入导出、资源、异常信息、安全证书、重定位、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的有:导出、导入、重定位、IA
PE文件分析-导出和导入
m0_48995611的博客
06-12 578
导出 DESC: 记录本模块导出函数的相关信息, 结构如图所示。 RVA: IMAGE_DATA_DIRECTORY[0].VirtualAddress。 导出函数有两种导出方式: (1) 序号导出。直接在导出函数地址通过序号得到函数的 RVA。 (2) 名称导出。先在导出函数名称中找到该函数位置, 再在导出函数名称序号对应位置找到该导出函数的序号, 最后在导出函数地址通过序号得到函数的 RVA。 Name DESC : 本模块名称字符串的 RVA。 NumberOfFunctio
Python学习笔记:分支结构
12-22
1. 单分支结构 单分支结构即只有一个分支,如下,有两种方式实现 guess = eval(input()) if guess == 99: print("猜对了") if True: print("条件正确") 2. 二分支结构 2.1定义 根据判断条件结果而选择...
数据结构笔记:栈
01-20
分类目录——数据结构笔记](https://blog.csdn.net/bbjg_001/category_9753496.html) 栈(stack),有些地方也成为堆栈,是一种容器,可存储元素、访问元素、删除元素,他的特点是值能允许在容器的一段(称之为 栈顶...
如何正确的导出符号-PLC学习笔记
07-26
文章主要介绍如何正确的导出符号的方法,感兴趣的朋友可以看看。
数据结构笔记:双端队列
01-21
分类目录——数据结构笔记 双端队列(deque,double-ended queue),是一种具有队列和栈的性质的数据结构。 双端队列中每一端,都可以进行存入和取出,去其中一段,都像一个栈一样。 存取也只限定在两端,不能在中间...
数据结构笔记:树
12-14
分类目录——数据结构笔记 概念 树是一种抽象数据结构(ADT)或是实现这种抽象数据类型的数据结构,用来模拟具有树状结构性质的数据集合。它是由n(n>=1)个有限节点组成一个具有层次关系的集合。把它叫做树是因为它...
微信小程序学习笔记:目录结构详解及数据绑定
03-29
目录结构 pages 所有页面 app.js 全局js app.json 注册页面,配置小程序 app.wxss 全局样式文件 pages存放页面文件 每个页面一个文件夹,下面.wxml和.js文件是必需的。 .wxss和.josn文件不是必需的,如果没有的话就...
数据结构笔记:插入排序
01-20
分类目录——数据结构笔记 前一部分有序序列,有一部分无序序列 与选择排序的不同是 选择排序是从无序序列中选一个最小值 插入排序是拿无需部分的第一个往有序部分插入,插入到合适位置 实现 def insertsort(alist):...
PE导出分析
istream1的博客
12-06 66
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
PE 导出
不会写代码的丝丽
04-09 499
名称寻址 我们下window经常导出函数,因此在动态库我们往往有一个特殊结构叫做导出。 Microsoft官方文档说明 我们首先看一个导出模块信息 #export.def EXPORTS MsgBox Foo TestFunc ABCDFunc 上面我们导出四个函数且是名称导出 我们的导出地址位于NT头中数据目录的第一项。 这个导出目录的位于虚拟地址的2060h处 换算成文件地址为660h 相关的数据结构 对应上面的数值我们得出以下数据 Field Value 备注 E
PE格式解析-导出分析
走在成长的路上
12-25 1399
关于于PE文件中导出的格式解析
spark学习笔记:spark sql概述
最新发布
06-01
### 回答1: Spark SQL是Apache Spark中的一个模块,它提供了一种基于结构化数据的编程接口。Spark SQL可以让用户使用SQL语句来查询数据,也可以让用户使用DataFrame API来进行数据处理和分析。Spark SQL支持多种数据源,包括Hive、JSON、Parquet等。Spark SQL还提供了一些高级功能,如支持用户自定义函数、支持分布式机器学习算法等。Spark SQL的目标是让用户能够方便地使用Spark进行数据处理和分析,同时提供高性能和可扩展性。 ### 回答2: Spark SQL是一个基于Spark平台的关系型数据处理引擎,它支持使用SQL语句和数据框架操作数据,可以轻松处理结构化和半结构化的数据。它可以从多个数据源中读取数据,包括Hive、JSON、Parquet、ORC等。通过Spark SQL,用户可以方便地使用SQL查询语言来分析和处理数据,大大降低了开发和组织数据流的难度。 Spark SQL主要有两种执行模式:SQL查询和DataFrame操作。其中SQL查询基于Hive的SQL语法解析器,支持HiveQL中的大多数语言特性(如UDF、窗口函数等)。在执行计划生成时,Spark SQL采用了Spark的计算引擎,支持各种Spark算子的优化,以便最大程度地提高查询性能。 另一种操作模式是使用DataFrame API,它可以灵活地进行数据转换和处理,并提供了类似于SQL的语法。与SQL查询不同,DataFrame API通过静态检查和编译器优化来避免由SQL查询引起的语法错误和潜在性能问题。 除了这两种基本的操作模式外,Spark SQL还提供了一些高级特性,如嵌套查询、和视图、共享变量等。这些特性扩展了Spark SQL的功能,使得它可以更加灵活地进行数据处理和查询。 Spark SQL是Spark的重要组成部分,它在数据存储和处理方面提供了很多便利。通过最大程度地利用Spark引擎的优势,Spark SQL能够处理海量数据,并将其转换为有用的信息。这使得Spark SQL成为实现数据分析、机器学习和人工智能的重要工具之一。 ### 回答3: Spark SQL是一种基于Spark平台的数据处理引擎,它提供了高度优化的查询引擎和优秀的支持SQL语句的API。它允许用户使用SQL语句查询来处理大规模数据集,同时仍然支持复杂数据类型和计算。Spark SQL支持数据源,包括Parquet,Avro,JSON等一系列结构化的和半结构化的数据源。 Spark SQL在历史上是一个单独的模块,在Spark 2.0之后,它已经成为Spark的核心组件之一,可以直接在Spark核心API中使用,包括作为一个RDD库或DataFrame/DataSet的API。 Spark SQL的优点如下: 1. 它可以向受过传统SQL培训的用户展示更高级别,更强大的API。 2. 它提供数据集和RDD的良好互操作性。Spark SQL可以通过未被优化的RDD/DataSet API访问同一数据。 3. 它支持Spark的执行引擎以加速查询处理。 使用Spark SQL的时候,可以根据需要选择编程语言,如Scala,Java,Python,SQL等。在Spark核心API中,Spark SQL提供了两种API来处理结构化数据: 1. DataFrame API:DataFrame是具有许多操纵数据的功能的分布式数据集,类似于数据库中的。 2. Dataset API:Dataset是Scala和Java API,它是类型安全的,并且提供与RDD API相同的API,但比RDD具有更好的性能和可读性。 Spark SQL是Spark生态系统中重要的组成部分之一。在处理大规模数据时,使用Spark SQL可以方便地利用Spark的强大功能,提高处理效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Q324411601

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值