PE解析导出表

最新推荐文章于 2024-07-10 17:42:39 发布
最新推荐文章于 2024-07-10 17:42:39 发布
阅读量256 收藏 1
点赞数
分类专栏: PE 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91357976
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏

PE文件头文件——数据目录表

 

导出目录位于数据目录表的起始位置

 

指向的地址指向导入表

 

 

1、函数名称字符串所在地址的RVA值

 

2、导出函数名对应的导出序号

 

3、导出序号对应的导出函数地址RVA值

 

 

 

解析导出表步骤:

 

1、找到导出目录,通过导出目录定位到导出表的文件偏移。

 

2、查看导出表结构第七个成员(NumberOfFunctions),得到导出地址表中导出函数地址的个数

 

3、查看导出表结构的第九个成员(AddressOfFunctions),得到导出地址表的RVA,将其转换成文件偏移。

 

4、查看导出表结构的第八个成员(NumberOfNames),得到该导出表中由函数名导出函数的个数,即导出序号表中成员的个数。

 

5、查看第十一个成员(AddressOfNameOriginals),得到导出序列号,

 

6、第十个成员(addressOfNames),得到导出表中导出函数名称字符串所在地址的函数名称地址表。

 

7、查看导出函数地址表的成员。

 

 

 

跃然实验室
关注
专栏目录
PE导出分析
istream1的博客
12-06 399
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 338
笔记:PE结构(6)导出解析
PE文件(九)导出
最新发布
2301_78838647的博客
07-10 1237
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称RVA我们在硬盘数据找该地址时要先转成FOA,这个地址指向的记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称RVA *
PE结构导出详细解析
huobengle
01-27 541
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
《初识PE导出
weixin_34212762的博客
11-21 147
转自:http://www.blogfshare.com/pe-export.html (二).导出PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。 Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟地址空间,这样的话在各个程序自己看来,自己就拥有几...
深入解析PE文件结构之导出获取
热门推荐
yiyefangzhou24的专栏
02-17 1万+
新学期新气象,一般是小学作文的开头,在此引用一下。 最近有时间坐下来仔细研究一下PE文件结构了,以前遇到这种问题时总是拆东墙补西墙。学的不够透彻。几天来一番研究之后,和大家分享一下。 PE的文件结构从DOS头开始,其主要作用就两个一个是若是在DOS环境下输出一句话。另一个作用就是找到PE文件头的位置,这是我们要关心的,本文只注重所要关心的问题——导出。和一些你再众多网上资料上很难找到的细节,
PE导出
只为改变自己
05-03 441
PE导出知识
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构。 PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
VC 解析PE导出 导入
01-16
本篇文章将详细解析VC(Visual C++)如何处理PE文件的导出和导入。 **导出**是PE文件中一个关键的组成部分,它包含了该文件对外提供的函数或资源的清单。当其他程序需要调用某个DLL中的函数时,会通过导出...
PE导出查看器-易语言
06-11
4. **导出目录(Export Directory)**:这是一个结构体,包含了导出的起始地址、大小等信息,是解析导出的入口。 易语言是一种中国本土开发的编程语言,它以中文编程为特色,适合初学者和专业开发者。在这个...
PE文件头的各种信息查询
01-16
查询PE文件头的基本信息,导入导出,重定位,资源信息的C实现
IATHOOK 易语言 还有PE文件格式解析 导入 导出
01-20
适合小白练习
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3821
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出,DLL 文件可
PE-导出
megaparsec
12-19 969
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
PE解析导出--代码
跃然实验室
06-10 488
//导出信息 typedef struct _EXPORT_INFO { char cDllName[256]; //用于保存DLL库名 pFuncInfo pFunctionInfo; //指向FUNC_INFO结构体数组,用于保存若干个函数信息 long lFuncNum...
PE导出导出
程序人生的专栏
06-13 1083
// export_test.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "windows.h" int export_jixi(unsigned long pmodule ,char *function) { if(pmodule == 0) retur
PE_导出
个人笔记
04-01 1054
导出导出概念导出的作用导出数据结构(IMAGE_EXPORT_DIRECTORY)IMAGE_EXPORT_DIRECTORY.nNameIMAGE_EXPORT_DIRECTORY.NumberOfFunctionsIMAGE_EXPORT_DIRECTORY.NumberOfNamesIMAGE_EXPORT_DIRECTORY.AddressOfFunctionsIMAGE_EXPORT_DIRECTORY.nBaseIMAGE_EXPORT_DIRECTORY.AddressOfNamesI
PE文件解析(3):导出解析
ylh的博客
10-31 869
导出深度解析,如何找到他的准确位置,代码解析导出的寻址。
易语言实现PE导入导出功能源码解析
- 源码使用说明文档(源码使用说明.txt)将详细描述如何使用这些源码,包括如何载入PE文件、如何解析导入导出、如何添加或删除导入导出项等。 5. PE文件操作的应用场景 - 程序动态加载:动态链接库的动态加载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值