PE解析导出表

最新推荐文章于 2022-12-06 23:52:30 发布
最新推荐文章于 2022-12-06 23:52:30 发布
阅读量205 收藏
点赞数
分类专栏: PE 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91357976
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏

PE文件头文件——数据目录表

 

导出目录位于数据目录表的起始位置

 

指向的地址指向导入表

 

 

1、函数名称字符串所在地址的RVA值

 

2、导出函数名对应的导出序号

 

3、导出序号对应的导出函数地址RVA值

 

 

 

解析导出表步骤:

 

1、找到导出目录,通过导出目录定位到导出表的文件偏移。

 

2、查看导出表结构第七个成员(NumberOfFunctions),得到导出地址表中导出函数地址的个数

 

3、查看导出表结构的第九个成员(AddressOfFunctions),得到导出地址表的RVA,将其转换成文件偏移。

 

4、查看导出表结构的第八个成员(NumberOfNames),得到该导出表中由函数名导出函数的个数,即导出序号表中成员的个数。

 

5、查看第十一个成员(AddressOfNameOriginals),得到导出序列号,

 

6、第十个成员(addressOfNames),得到导出表中导出函数名称字符串所在地址的函数名称地址表。

 

7、查看导出函数地址表的成员。

 

 

 

跃然实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE解析 DLL导出
07-05
PE解析 DLL导出
PE导出查看器-易语言
06-11
19年9月份左右写的,直接上源码,只解析PE结构里面的导出
PE文件导出解析
windows小菜鸡的博客
08-16 918
1、导出的结构 导出是option可选PE头的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称的RVA,需要转为FOA,每个存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称找到Ordinals下标,然后通过下标在Or
PE-导出
megaparsec
12-19 858
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
PE格式解析-导出分析
走在成长的路上
12-25 1547
关于于PE文件中导出的格式解析
11.PE文件之导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 4886
目录 导出定位以及解析(手动) 代码定位导出并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
PE文件:导出
weixin_43742894的博客
04-01 733
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
PE文件-导出
weixin_45012273的博客
11-08 1363
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
PE导出分析
istream1的博客
12-06 324
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
PE文件解析(3):导出解析
ylh的博客
10-31 716
导出深度解析,如何找到他的准确位置,代码解析导出的寻址。
PE文件头的各种信息查询
01-16
查询PE文件头的基本信息,导入导出,重定位,资源信息的C实现
VC 解析PE导出 导入
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出,导入
PE文件导入解析(C++)
05-01
C++实现PE文件的导出解析操作,希望对大家有所帮助。
IATHOOK 易语言 还有PE文件格式解析 导入 导出
01-20
适合小白练习
IDA Pro查找引用导入函数的位置
跃然实验室
06-08 8707
按名字排序 双击函数名,进入数据段 选定字符串,右键,选择Jumptoxref to Operand 出现所有引用信息,选择查看
OD查看字符串
跃然实验室
06-09 8541
在反汇编窗口中右击,出来一个菜单,我们在 查找->所有参考文本字串 上左键点击: 在textstring窗口后,再右击这个窗口里面随便一处,选“searchfortext” 输入要查找的内容,把Casesensitive(区分大小写)和Entirescope(整个范围)选上。 在OD2中 ...
010 editor 复制16进制段
跃然实验室
01-20 7012
复制时用ctrl +c 在010中新建hex file ctrl +shift +c
用OD查看内存信息
跃然实验室
06-09 5081
必须以管理员身份运行 用OllyDbg查看内存信息 按运行 ALT+M打开内存窗口 选择一行,CTRL+B 打开搜索,
vc编写pe文件解析工具
最新发布
08-29
我们还可以通过解析导出,获取到PE文件中自身的导出函数等。 总的来说,VC编写PE文件解析工具需要通过对PE文件结构和内容的深入理解,使用相关函数和库来实现对PE文件的读取和解析。这样就可以开发一个功能丰富、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值