PE文件之移动导出表(自学笔记)

已于 2022-12-22 21:43:30 修改
阅读量297 收藏
点赞数
文章标签: windows
于 2022-12-22 21:42:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sanshul/article/details/128412117
版权

导出表是应用程序的导出函数的总汇。一般情况exe没有导出表,dll会有。

移动导出表的意义:

1.能够更好的了解导出的结构。

2.方便后续做修改;

与其叫移动不如复制

移动导出表的步骤(自己的方式):

1.先新增节(为了将导出表移动到该节中)

//打开文件
	FILE* fp;
	fp = fopen(filename, "rb");
	if (!fp)
	{
		printf("打开文件失败!\n");
		return;
	}
	fseek(fp, 0, SEEK_END);
	int len = ftell(fp);
	fseek(fp, 0, SEEK_SET);

	DWORD filebuffer = malloc(len);
	if (!filebuffer)
	{
		printf("内存申请失败!\n");
		fclose(fp);
		return;
	}

	//将文件读取到内存中
	fread(filebuffer, sizeof(char), len, fp);

	if ((short)*filebuffer != 0x5a4d)
	{
		printf("不是有效的MZ标识!\n");
		fclose(fp);
		free(filebuffer);
		return;
	}
	if (*(filebuffer + *(filebuffer + 15) / 4) != 0x4550)
	{
		printf("不是有效的PE标识!\n");
		fclose(fp);
		free(filebuffer);
		return;
	}

	//获取PE 可选PE  节  数据目录  dos与PE标识之间的垃圾文件
	WORD PE_header = filebuffer + *(filebuffer + 15) / 4 + 1;
	WORD optionPE_header = PE_header + 10;
	DWORD section = optionPE_header + *(PE_header + 8) / 2;
	DWORD DataDirectory = optionPE_header + 48;
	DWORD SizeOfImage = optionPE_header + 28;

	DWORD SizeOfHeaders = optionPE_header + 30;
	WORD NumberOfSections = PE_header + 1;
	int rubbish = *(filebuffer + 15) - 64;
	//新增节 在将导出表移动到新增节中

	//判断节表中是否大于80字节
	if (*SizeOfHeaders - (64 + 4 + 20 + *(PE_header + 8)+ rubbish) - (*NumberOfSections * 40) < 80)
	{
		printf("不能新增节!\n");
		fclose(fp);
		free(filebuffer);
		return;
	}

	//在文件末尾开辟空间 memry-------------------------新增节的大小
	int memry = 0x10000;
	*SizeOfImage = *SizeOfImage + memry;

	//添加新表
	DWORD end_section = section + (*NumberOfSections-1) * 10;
	DWORD new_section = section + *NumberOfSections * 10;
	memcpy(new_section, new_section - 10, 40);

	//修改表中的值
	DWORD VirtualSize = new_section + 2;
	DWORD VirtualAddress = new_section + 3;
	DWORD SizeOfRawData = new_section + 4;
	DWORD PointerToRawData = new_section + 5;
	DWORD Characteristics = new_section + 9;

	*VirtualSize = memry;
	if (end_section + 2 > end_section + 4)
	{
		*VirtualAddress = *(end_section + 3) + *(end_section + 2);
		if (*VirtualAddress % 0x1000 != 0)
		{
			*VirtualAddress = *VirtualAddress - *VirtualAddress % 0x1000;
			*VirtualAddress = *VirtualAddress + 0x1000;
		}
	}
	else
	{
		*VirtualAddress = *(end_section + 3) + *(end_section + 4);
		if (*VirtualAddress % 0x1000 != 0)
		{
			*VirtualAddress = *VirtualAddress - *VirtualAddress % 0x1000;
			*VirtualAddress = *VirtualAddress + 0x1000;
		}
	}
	*SizeOfRawData = memry;
	*PointerToRawData = *(end_section + 5) + *(end_section + 4);

	//修改节的数量
	*NumberOfSections = *NumberOfSections + 1;

	//将文件扩大
	DWORD new_filebuffer = malloc(len + memry);
	memset(new_filebuffer, 0, len + memry);
	memcpy(new_filebuffer, filebuffer, len);

	//将内存中的数据写入到文件中
	FILE* fpp;
	fpp = fopen(filepath, "wb");
	if (!fpp)
	{
		printf("文件打开失败!\n");
		fclose(fp);
		free(filebuffer);
		free(new_filebuffer);
		return;
	}
	fwrite(new_filebuffer, sizeof(char), len + memry, fpp);
	printf("新增节成功!\n");
	fclose(fp);
	fclose(fpp);

2.将函数地址表复制到新增节中

int Fov = RvaToFov(filepath, *DataDirectory);
	DWORD Add_section = new_filebuffer + len / 4;
	DWORD ExportTable = new_filebuffer + Fov / 4;
	DWORD AddressOfFunctions = ExportTable + 7; 
	//找到真实函数地址表 并将其复制
	DWORD Functions = new_filebuffer + RvaToFov(filepath, *AddressOfFunctions) / 4;
	for (int i = 0; i < *(ExportTable + 5); i++)
	{
		*Add_section = *Functions;
		Add_section++;
		Functions++;
	}
	DWORD new_Functions = Add_section - *(ExportTable + 5);

这里用到的RvaToFov函数是自己写的,功能是将内存中的偏移转化成文件中的偏移。

复制的思路就是先得到新增节的地址Add_section,这个就是开始复制的地址。ExportTable是导出表的地址。AddressOfFunctions是函数地址表的地址,再用RvaToFov函数得到真实的函数地址表并复制到Add_section。

3.将函数名称表复制到新增节中

DWORD AddressOfNames = ExportTable + 8;
	//找到真实函数名称表 并将其复制
	DWORD Functions_Name = new_filebuffer + RvaToFov(filepath, *AddressOfNames) / 4;
	for (int i = 0; i < *(ExportTable + 6); i++)
	{
		*Add_section = *Functions_Name;
		Add_section++;
		Functions_Name++;
	}
	Functions_Name = Functions_Name - *(ExportTable + 6);
	DWORD new_Functions_Name = Add_section - *(ExportTable + 6);

同样是得到函数名称表的地址,在用RvaToFo函数的到真实的表并将其复制到Add_section。需要注意的是Functions_Name是原来的地方,而new_Functions_Name是新增节中的地址。

3.将函数序号表复制到新增节中

DWORD AddressOfNameOrdinals = ExportTable + 9;
	//找到真实函数序号表 并将其复制
	WORD short_Add_section = Add_section;     //因为函数序号表是表项是两字节
	WORD Functions_Ordinals = new_filebuffer + RvaToFov(filepath, *AddressOfNameOrdinals) / 4;
	for (int i = 0; i < *(ExportTable + 6); i++)
	{
		*short_Add_section = *Functions_Ordinals;
		short_Add_section++;
		Functions_Ordinals++;
	}
	Functions_Ordinals = Functions_Ordinals - *(ExportTable + 6);
	DWORD new_Functions_Ordinals = short_Add_section - *(ExportTable + 6);
	Add_section = short_Add_section;//无缝衔接下一个表的复制

思路和方法基本与复制函数地址表,函数名称表一致。其中函数序号表中的项是两字节的。

4.将名称复制到新增节中  并且将函数名称地址表中的地址修复

我的疑点大概就在这个部分,因为每个dll的名字不一样,导致函数名对应的地址不正确(函数名在dll名字后面),大概差值在4个字节内。至今不知道原因只能通过先得到dll名称地址,计算dll名称大小从而得到正确的函数名称地址。

    char* addsec = Add_section; //为了一起将名称同步
    char* name = new_filebuffer + RvaToFov(filepath, *Functions_Name) / 4; //每个函数名称具体指针

	//=============为了精确得到每个函数名称导出的名字=============开始
	char* sname = new_filebuffer + RvaToFov(filepath, *(ExportTable + 3)) / 4;
	char* nums = sname;
	int dllNamelen = 1;
	while (*nums != 0)
	{
		dllNamelen++;
		nums++;
	}
	if (*sname != 0)
	{
		name = sname + dllNamelen;
	}
	//=============为了精确得到每个函数名称导出的名字=============结束

因为这个出现奇数字节的计算所以用char*的addsec先获取Add_section。如果name得到正确的值并且sname(dll名字)不正确,那么会name不变。反过来name不正确,sname正确,name = sname + dllnamelen。dllnamelen为dll名字大小。

    int ka = 0;//计算所有函数名称的总大小
	int total = 0;//计算三个表的大小(地址表,序号表,名称表(名称地址表+名称))
	for (int i = 0; i < *(ExportTable + 6); i++)
	{

		//得到name后判断长度 在复制到新增节中
		int namelen = 1;
		while (*name != 0)
		{
			namelen++;
			name++;
		}
		name = name + 1;
		name = name - namelen;
		memcpy(addsec, name, namelen);
		//修复名字表里面的地址
		*new_Functions_Name = FovToRva(filepath, (int)(addsec - new_filebuffer));
		addsec = addsec + namelen;
		name = name + namelen;
		new_Functions_Name++;
		ka += namelen;
	}
	total = *(ExportTable + 5) * 4 + *(ExportTable + 6) * 4 + *(ExportTable + 5) * 2 +ka;
	if (total % 4 != 0)
	{
		addsec = addsec + (4 - total % 4);
	}
	new_Functions_Name = new_Functions_Name - *(ExportTable + 6);
	Add_section = addsec; //继续无缝衔接

将得到函数名称复制到Add_secton(addsec)中。修改new_Functions_Name的值,每一次复制函数名称的时候都要该函数名称地址的文件偏移转化成内存中偏移,并存储在new_Function_Name中。FovToRva函数也是我自己写的在lib中。重点注意因为我们是先复制函数表,在复制导出表,所以如果函数名称不是刚好4字节整数会导致移动完成后读取函数三表出错。我们这里采用得到所有函数名称大小判断是否为4字节整数倍,然后进行4字节对齐。再将Add_section移动到对齐后的位置。

5.复制导出表结构

    memcpy(Add_section, ExportTable, 40);

	//修改导出表结构中的 AddressOfFunctions AddressOfNames AddressOfNameOrdinals
	AddressOfFunctions = Add_section + 7;
	AddressOfNames = Add_section + 8;
	AddressOfNameOrdinals = Add_section + 9;
	
	*AddressOfFunctions = FovToRva(filepath, (int)(Functions - new_filebuffer)*4);
	*AddressOfNames = FovToRva(filepath, (int)(new_Functions_Name - new_filebuffer)*4);
	*AddressOfNameOrdinals = FovToRva(filepath, (int)(new_Functions_Ordinals - new_filebuffer)*4);

直接将原来的导出表复制到新增节中Add_section位置,修改AddressOfFunctions   AddressOfNames  AddressOfNameOrdinals用FovToRva函数转成内存偏移存储。

6.修复目录项中的值,指向新的IMAGE_EXPORT_DIRECTORY

    WORD new_PE_header = new_filebuffer + *(new_filebuffer + 15) / 4 + 1;
	WORD new_optionPE_header = new_PE_header + 10;
	DWORD new_DataDirectory = new_optionPE_header + 48;
	
	DWORD new_ExportTable = Add_section;
	*new_DataDirectory = FovToRva(filepath, (int)(new_ExportTable - new_filebuffer) * 4);

将数据目录中的第一项的内存地址改为新增节的导出表地址即可。

dzSanShuiL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PE导出,C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 749
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
移动导出
qq_52442096的博客
02-06 99
【代码】移动导出
PE文件解析--导出
qq_31125257的博客
12-22 1366
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
驱动开发:PE导出函数与RVA转换
热门推荐
CSDN
06-07 1万+
中简单介绍了如何扫描被挂钩的SSDT函数,并简单介绍了如何解析导出,本章将继续延申PE导出的解析,实现一系列灵活的解析如通过传入函数名解析出函数的RVA偏移,ID索引,Index下标等参数,并将其封装为可直接使用的函数,以在后期需要时可以被直接引用,同样为了节约篇幅本章中的。则实现传入RVA或者函数Index序号,解析出函数名,具体实现方法与如上函数基本一致,仅仅只是在过滤时做了调整。函数,当用户传入参数后自动将函数名解析为对应的RVA偏移或Index下标索引值,该函数接收三个参数传递,分别是。
导入导出
richard1230的博客
10-09 7319
文章目录首先说几个基本问题:双桥结构解析导入:导入: 首先说几个基本问题: 1.导入的作用是什么?没有它exe能运行么? 作用:记录了一个exe或者一个dll所用到的其他模块导出的函数; 所记录的信息有:用了哪些模块(用了哪些dll),用了dll的哪些函数 2.导出的作用?没有它exe能运行么? 作用:记录了导出符号的地址,名称,与序号 (提示:exe文件中很少有导出的,大多数dll都有...
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
最新发布
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构。 PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
编辑/查看DLL文件PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件导出进行增、删、改的操作,现在它还可以用于给没有导出文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
cvi 解析PE文件获取导出函数和虚拟地址
09-01
本文将深入探讨如何使用Labwindows/CVI解析PE文件以获取其导出函数和虚拟地址。 首先,让我们了解一下什么是Labwindows/CVI。Labwindows/CVI是由National Instruments公司开发的一种集成开发环境(IDE),专门...
易语言源码易语言导入导出PE源码.rar
03-31
本文将深入探讨易语言源码以及如何在易语言中导入和导出PE(Portable Executable)PE是Windows操作系统中可执行文件(.exe和.dll)的标准格式,包含了关于程序的各种元数据,如导入和导出函数、资源信息、...
Windows PE文件导入导出接口分析工具
11-22
本软件是一个用来分析PE程序文件的输出函数,及其依赖列(导入库及函数名称)的免费工具。 软件无须安装,无任何插件或捆绑软件,只需解压即可运行。 (PE是指Windows操作系统中的可执行文件,比如.exe,.dll,....
输出,重定位重建工具
06-30
输出,重定位重建免杀工具......使用简单!自己上手
手工解析PE(将导出移动到新增节中)
GNAIXGNAHZ的博客
06-30 251
手工解析PE(将导出移动到新增节中)
PE解析导出
跃然实验室
06-10 219
PE文件文件——数据目录 导出目录位于数据目录的起始位置 指向的地址指向导入 1、函数名称字符串所在地址的RVA值 2、导出函数名对应的导出序号 3、导出序号对应的导出函数地址RVA值 解析导出步骤: 1、找到导出目录,通过导出目录定位到导出文件偏移。 2、查看导出结构第七个成员(NumberOfFu...
《初识PE导出
weixin_34212762的博客
11-21 129
转自:http://www.blogfshare.com/pe-export.html (二).导出PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。 Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟地址空间,这样的话在各个程序自己看来,自己就拥有几...
PE文件资源解析(一)资源类型的提取
老狼的专栏
04-21 2636
这个界面相信作为软件开发人员来说,都不会陌生。 从本章节起,分篇介绍如何来开发一个属于自己的资源提取软件。资源的提取有2种,一种是通过WindowsAPI接口来实现资源类型的枚举,一种是通过解析PE文件结构来获取资源类型的枚举。PE文件解析方式将放在后面章节,这次首先以WindowsAPI方式来进行讲解:这里主要用到3个接口EnumResourceTypes、EnumResourceName...
PE文件学习笔记(一)---导入导出
还木人的博客
10-07 3116
最近在看《黑卡免杀攻防》,对讲解的PE文件导入导出的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入? 导入机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
导出
dre4merp
05-16 1117
导出大多存在于dll中,其主要目的就是导出一些可供其他exe调用的函数。 导出的函数分两种,一种按名称导出,一种按序号导出导出的大体结构如下: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 1) 保留,恒为0x00000000 DWORD TimeDateStamp; // 2) 时间戳,导出创建的时间(GMT时间) WORD MajorVersion; // 3)
实验7 pe导出分析及应用
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值