PE结构-导出表

最新推荐文章于 2023-03-25 18:57:00 发布
最新推荐文章于 2023-03-25 18:57:00 发布
阅读量374 收藏 1
点赞数
分类专栏: 文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wang_1997/article/details/104385701
版权

在上一篇博客中说了导入表,所谓的导入表,其实相当于记录程序所依赖的函数库信息,类似于你要调用外部函数,总得记录下这个函数在哪个库中,名字或者序号是什么。有了这些信息后,我们就可以LoadLibrary和GetProcAddress获取函数地址了

那么,操作系统是如何来获取函数地址呢,也就是GetProcAddress的实现,这里就涉及到了导出表。导出表,会记录这个库函数的地址是多少,所以简单来说GetProcAddress就是查导出表来获取地址,如何查就是下面的话题了。

导出意味着需要提供API给他人使用,一般来说会是一些DLL之类的,所以,我们先来写一个DLL,再来分析其PE格式

.386
.model flat, stdcall  ;32 bit memory model
option casemap :none  ;case sensitive

include windows.inc
include user32.inc
includelib user32.lib

public g_nTest
.data
	g_nTest dd 87654321h
	
.code

ShowMsg proc szText:LPSTR,szTitle:LPSTR
	invoke MessageBox,NULL,szText,szTitle,MB_OK
	ret
ShowMsg endp

MySub proc x:UINT,y:UINT
	mov eax,x
	sub eax,y
MySub endp

MyAdd proc x:UINT,y:UINT
	mov eax,x
	add eax,y
MyAdd endp

DllMain proc hinstDLL:HINSTANCE,fdwReason:DWORD,lpvReserved:LPVOID
	mov eax,TRUE
	ret
DllMain endp	
end DllMain

def文件描述

EXPORTS
	ShowMsg @11
	MySub @5 noname
	MyAdd @7
	g_nTest @8

这里我们先用Depends来观察一下导出情况

其中序号为5,7,8,9的就是我们自己导出的,那么剩余的是什么,下面就可以通过导入表来解释了

首先先来说一下如何定位到导入表,导入表位于数据目录的第一项

2060这里转FA的话就是660,所以文件地址从660开始,大小为77,这一整块是导入表信息的总大小,这里

最低0.47元/天 解锁文章
嘻嘻兮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构->【导出】Export
u011513939的博客
06-22 503
PE 文件被执行的时候,Windows 加载器将文件装入内存并将导出(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的。动态链接库可以使用应用程序的资源,它所拥有的资源也可以被应用
PE文件基础(不全还在补全) V1.0
dohxxx的博客
10-05 490
PE的基本概念 地址: PE中设计的地址有四类: 1.虚拟内存地址(VA): 用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA), 所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址 2,相对虚拟内存(...
PE文件解析(3):导出的解析
ylh的博客
10-31 772
导出深度解析,如何找到他的准确位置,代码解析导出的寻址。
23. PE结构-PE详解之输出导出
墨痕诉清风的博客
03-05 3400
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
PE文件解析--导出
qq_31125257的博客
12-22 1378
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
PE结构->【导出】工具包
06-22
PE文件中,导出是一个非常重要的组成部分,它定义了该文件可以提供给其他模块调用的函数或数据。本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address ...
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
最新发布
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
PE结构 - PDF版本.zip
06-13
PE结构允许程序在不同的处理器架构上运行,是Windows平台上的核心组成部分。 PE文件结构分为几个主要部分: 1. **DOS头**:虽然现在大多数程序不再依赖MS-DOS,但为了兼容历史原因,PE文件仍保留了一个简化的DOS头...
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
软件说明: ExpX是一个编辑/查看PE文件导出的工具。 利用它可以方便的对PE文件的导出进行增、删... 这个程序为学习PE结构的产品,如果时间精力允许我会继续更新。 如果你有什么建议请发到我的邮箱ttui@163.com。
PE导出查看器-易语言
06-11
1. **PE文件格式**:了解PE文件的结构,包括DOS头、PE头、节导出等部分。 2. **文件I/O操作**:如何读取二进制文件,并处理其中的数据。 3. **内存映射**:将PE文件映射到内存,以便解析其内部结构。 4. **...
PE文件-导出
weixin_45012273的博客
11-08 1408
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
PE结构导出详细解析
huobengle
01-27 512
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
栈溢出笔记1.7 地址问题(2)
hustd10的博客
04-09 975
1.6节中找到了kernel32.dll的基地址,这一节,来解决第二个重要问题,即解析kernel32.dll的导出,找到LoadLibraryA和GetProcAddress的地址。DLL导出的函数信息位于导出中,因此,首先,要在PE文件中找到导出(IMAGE_EXPORT_DIRECTORY)的地址,这位于数据目录(IMAGE_DATA_DIRECTORY)中。而数据目录位于PE扩展头(I
PE导出,C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 783
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构导出
PE文件之移动导出(自学笔记)
Sanshul的博客
12-22 314
PE文件之移动导出(自学笔记)
PE文件结构详解(三)PE导出
Azure_Sky_2014
02-02 831
转自:http://blog.csdn.net/evileagle/article/details/12176797 上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数获取,函数原型如下:
滴水PE作业3
bruce_devil的博客
03-25 105
实现目标: 开辟新的节并将导出与重定位的数据移到新的节中。
PE导出
只为改变自己
05-03 413
PE导出知识
实验7 pe导出分析及应用
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们可以通过使用工具如PEview、PE Explorer等对PE文件的导出进行分析,了解其中包含的函数和变量信息。同时,我们还可以使用工具如DLL Export Viewer、Dependency Walker等来查看DLL文件的导出信息。 在实际应用中,Pe导出分析可以用于以下方面: - 程序调试和逆向工程:通过分析导出中的函数和变量,可以帮助我们了解程序的逻辑和调用关系,从而进行调试和逆向分析。 - 恶意程序检测:恶意程序通常会使用一些特定的函数和变量来实现其攻击功能,通过分析导出中的函数和变量,可以帮助我们快速识别和查找这些恶意代码。 - 应用程序开发:在开发应用程序时,我们可以利用导出中的函数和变量实现各种功能,如调用系统API、实现插件机制等。 总之,Pe导出分析是一个非常有用的技能,可以帮助我们更好地理解和应用PE文件和DLL文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值