PE解析导出表--代码

最新推荐文章于 2024-07-10 17:42:39 发布
最新推荐文章于 2024-07-10 17:42:39 发布
阅读量477 收藏 2
点赞数 2
分类专栏: 安全 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91357990
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏 


//导出表信息
typedef struct _EXPORT_INFO
{
                 char cDllName[256];       //用于保存DLL库名
                 pFuncInfo pFunctionInfo;  //指向FUNC_INFO结构体数组,用于保存若干个函数信息
                 long lFuncNum;            //pFunctionInfo所指向数组的个数
                _EXPORT_INFO()
                {
                                pFunctionInfo = NULL;
                                lFuncNum = 0;
                                memset(cDllName, '\0', 256);
                }              
}*pExportInfo, EXPORT_INFO;



//得到导出表的信息:导出库名,导出函数ID,导出函数地址
void CPe32 ::GetExportTableInfo()
{
                 if (m_bSuccess)
                {
                                 //得到导出目录结构
                                 IMAGE_DATA_DIRECTORY ExportDataDirectory = m_pPeHeader->OptionalHeader.DataDirectory[0];
                                 //如果不存在导出表则返回
                                 if (ExportDataDirectory.VirtualAddress == 0)
                                {
                                                 return ;
                                }
                                 //得到文件中导出表结构指针
                                 IMAGE_EXPORT_DIRECTORY *pExportDescriptor =
                                                ( IMAGE_EXPORT_DIRECTORY *)(GetFileOffsetFromRva(ExportDataDirectory.VirtualAddress) + m_pFileBuffer);
                                 //判断得到的导出表指针是否合法
                                 if ((DWORD )pExportDescriptor>(DWORD)m_pFileBuffer+m_iFileSize)
                                {
                                                 return;
                                }
                                 //pExportDescriptor->Name 库名字符串所在地址的Rva
                                 DWORD dwDllNameFileOffset  = GetFileOffsetFromRva(pExportDescriptor->Name);
                                 //保存该库名
                                 if (dwDllNameFileOffset  >= (DWORD)m_iFileSize)
                                {
                                                strcpy(m_ExportInfo.cDllName, (const char *)"NULL");
                                }
                                 else
                                {
                                                 unsigned int iLen = strlen((const char*)(m_pFileBuffer + dwDllNameFileOffset ));
                                                 if (iLen < 256) //判断库名是否合法
                                                {
                                                                strcpy(m_ExportInfo.cDllName, (const char *)(m_pFileBuffer + dwDllNameFileOffset ));
                                                }
                                                 else
                                                {
                                                                strcpy(m_ExportInfo.cDllName, (const char *)"NULL");
                                                }
                                }
                                 //判断导出表导出函数个数是否过多
                                 if (pExportDescriptor->NumberOfFunctions > 2048)
                                {
                                                 return ;
                                }
                                 //保存导出函数总个数
                                m_ExportInfo.lFuncNum = pExportDescriptor->NumberOfFunctions;
                                 //保存所有导出函数所在内存地址指针
                                m_ExportInfo.pFunctionInfo = new FUNC_INFO [m_ExportInfo.lFuncNum];
                                
                                 //获得按名字导出函数的序号表在文件中的偏移
                                 DWORD dwNameOrdinalsInFileOffset = GetFileOffsetFromRva(pExportDescriptor->AddressOfNameOrdinals);
                                 if (dwNameOrdinalsInFileOffset > (DWORD)m_iFileSize) //判断序号表文件偏移是否合法
                                {
                                                 return;
                                }
                                 //得到按名字导出函数的序号表
                                 WORD * pNameOrdinalsTable = (WORD *)(m_pFileBuffer + dwNameOrdinalsInFileOffset);
                                 int nBase = pExportDescriptor->Base; //得到导出序号的基数
                                 int nFuncNum = m_ExportInfo.lFuncNum;
                                 int iNameOrdinalsIndex = -1;
                                 for (int i = 0; i < nFuncNum; i++)
                                {
                                                 bool bFind = FALSE ;
                                                 //遍历函数名称序号表,此表和导出函数名表一一对应。
                                                 for (int j = 0; j < (int)pExportDescriptor->NumberOfNames; j++)
                                                {
                                                                 //获得函数名称序号表中序号
                                                                 int iIndex = pNameOrdinalsTable[j] + pExportDescriptor->Base;
                                                                 //判断变量i所对应的导出地址中对应的函数的序号是否存在于函数名称序号表中
                                                                 if (iIndex == i+nBase)
                                                                {
                                                                                iNameOrdinalsIndex++;
                                                                                bFind = TRUE;
                                                                                 break;
                                                                }
                                                }
                                                 //找到名字
                                                 if (bFind)
                                                {
                                                                 //获得导出函数名称地址表在文件中的偏移
                                                                 DWORD dwAddressOfNamesInFileOffset = GetFileOffsetFromRva(pExportDescriptor->AddressOfNames);
                                                                 if (dwAddressOfNamesInFileOffset > (DWORD)m_iFileSize) //判断名称地址表在文件中的偏移是否合法
                                                                {
                                                                                 continue; //不合法放弃当前的继续遍历下一个
                                                                }
                                                                 //获得导出函数名称地址表
                                                                 long *pAddressOfNamesInFileOffset = (long *)(m_pFileBuffer + dwAddressOfNamesInFileOffset);
                                                                 //取出与函数名称序号对应的函数名称字符串所在文件中的偏移
                                                                 DWORD dwFunctionNameInFileOffset = GetFileOffsetFromRva(pAddressOfNamesInFileOffset[iNameOrdinalsIndex]);
                                                                 if (dwFunctionNameInFileOffset < (DWORD)m_iFileSize)
                                                                {
                                                                                 unsigned int iLen = strlen((const char*)(m_pFileBuffer + dwFunctionNameInFileOffset));
                                                                                 if (iLen < 256)
                                                                                {
                                                                                                strcpy(m_ExportInfo.pFunctionInfo[i-nBase].cFunctionName,
                                                                                                                ( const char *)(m_pFileBuffer + dwFunctionNameInFileOffset));        
                                                                                }
                                                                                 else
                                                                                {
                                                                                                 continue; //函数名称字符串不合法,放弃当前的,继续遍历下一个
                                                                                }
                                                                }
                                                } 
                                                 //保存导出序号
                                                m_ExportInfo.pFunctionInfo[i-nBase].lOrdinal = i+nBase;
                                                 //获得导出地址表在文件中的偏移
                                                 DWORD dwAddressInFileOffset = GetFileOffsetFromRva(pExportDescriptor->AddressOfFunctions);
                                                 if (dwAddressInFileOffset > (DWORD )m_iFileSize) //判断导出地址表在文件中的偏移是否合法
                                                {
                                                                 continue;
                                                }
                                                 //保存导出函数地址
                                                m_ExportInfo.pFunctionInfo[i].pdwRva = (DWORD *)*((DWORD *)(m_pFileBuffer + dwAddressInFileOffset) + i);
                                }
                }
}

 

跃然实验室
关注
专栏目录
VC 解析PE导出 导入
01-16
本篇文章将详细解析VC(Visual C++)如何处理PE文件的导出和导入。 **导出**是PE文件中一个关键的组成部分,它包含了该文件对外提供的函数或资源的清单。当其他程序需要调用某个DLL中的函数时,会通过导出...
滴水三期:day41.2-PE阶段所有代码汇总(PE文件分析器基本C代码
Edimade的博客
04-22 478
1.功能说明 > 2.代码
解析PE文件代码
qq_43445167的博客
07-03 666
图形界面暂时没做出来 暑假学学QT 读文件只能在主函数里写文件路径 , 是有点low… (流下了没技术的泪水) 头文件代码: #pragma once #include<Windows.h> class CPe { private: PTCHAR ptcFilePath; //PE文件路径 IMAGE_DOS_HEADER pe_cDosHeader; I...
PE文件(九)导出
最新发布
2301_78838647的博客
07-10 1115
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称RVA我们在硬盘数据找该地址时要先转成FOA,这个地址指向的记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称RVA *
手动解析PE文件(含打印PE文件信息的C练习代码
lygl35的博客
06-17 1017
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
PE文件导出解析代码实现
做一个快乐学习者
05-01 521
PE文件导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { //保留。恒为0x00000000 DWORD Characteristics; //导出的创建时间(GMT) DWORD TimeDateStamp; //导出的主版本号 WORD MajorVersion; //导出的子版本号 WORD Mi...
手工解析PE(文件注入)
GNAIXGNAHZ的博客
06-05 1261
手工解析PE(文件注入)
PE解析 DLL导出
07-05
4. **解析导出**:获取导出函数的名称、地址和序号,通常包括导出函数地址数组、导出名称和序号索引。 5. **调用DLL函数**:通过函数地址或者名称,使用API调用函数。 在提供的文件列中,如`call.bak`、`...
PE结构->【导出】工具包
06-22
本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address Table, EAT)**:这是导出的核心,记录了导出函数的实际地址。EAT由一系列导出函数项组成,每个函数...
三个PE解析代码学习
04-29
标题 "三个PE解析代码学习" 涉及的核心知识点主要围绕着PE(Portable Executable)文件格式、PE解析、MFC(Microsoft Foundation Classes)框架以及C++编程语言在Windows环境下的应用。以下是对这些主题的详细阐述...
PE导出查看器(易语言版本)-易语言
06-11
这个源码没记错的话是去年9月份写的,当时本来是打算写一个功能齐全一点的PE工具,例如解析导入导出、重定位及节等功能,后来只写了一个解析导出就放弃了,为什么呢,主要是因为声明结构体比较烦,是一...
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
pe(32位)导入解析代码
JTB_xia的博客
06-12 137
#include <iostream> #include <Windows.h> #include <fstream> #include "ku.h" using namespace std; int main(int argc, char** argv) { if (argc != 2) { return 1; } UINT l; cout.setf(ios::hex, ios_base::showbase.
WinPE基础知识之代码解析
weixin_30604651的博客
05-13 165
void CMyPE::OnClickedButton1() { // TODO: 在此添加控件通知处理程序代码 // 打开一个文件夹选择对话框 CFileDialog dlg(TRUE); dlg.DoModal(); // 将文件路径显示到编辑框 CString path = dlg.GetFolderPath(); CString path1...
PE结构取调试信息 代码
lif12345的专栏
03-04 1847
PE结构取调试信息 代码
PE文件解析(3):导出解析
ylh的博客
10-31 836
导出深度解析,如何找到他的准确位置,代码解析导出的寻址。
PE-导出
megaparsec
12-19 947
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
C++代码解析PE文件结构与特性
- 这个函数可能是用来分析PE文件特定属性的,比如检查PE头、节区、导入导出等。 - 通过传入一个WORD参数(可能示某种文件属性的标志),该函数可以提供有关PE文件详细特性的洞察。 5. **C++编程**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值