PE导出表--查找入口地址

最新推荐文章于 2021-12-22 10:17:37 发布
最新推荐文章于 2021-12-22 10:17:37 发布
阅读量1.1k 收藏 5
点赞数 2
分类专栏: PE 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91358086
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏

从序号查找入口地址

 

(1)定位到PE文件头。

(2)从PE文件头中的IMAGE_OPTIONAL_HEADER32结构中取出数据目录表,并从第一个数据目录中得到导出表的地址。

(3)从导出表的nBase字段得到起始序号。

(4)将需要查找的导出序号减去起始序号,就得到了函数在入口地址表中的索引。

(5)检测索引值是否大于导出表的NumberOfFunctions字段的值,如果大于后者的话,说明输入的序号是无效的。

(6)用这个索引值在AddressOfFunctions字段指向的导出函数入口地址表中取出相应的项目,这就是函数的入口地址RVA值,当函数被装入内存的时候,这个RVA值加上模块实际装入的基址,就得到了函数真正的入口地址。

 

 

从函数名称查找入口地址

 

(1)最初的步骤是一样的,那就是首先得到导出表的地址。

(2)从导出表的NumberOfNames字段得到已命名函数的总数,并以这个数字作为循环的次数来构造一个循环。

(3)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名相比较,如果没有任何一个函数名是符合的,表示文件中没有指定名称的函数。

(4)如果某一项定义的函数名与要查找的函数名符合,那么记下这个函数名在字符串地址表中的索引值,然后在AddressOfNameOrdinals 指向的数组中以同样的索引值取出数组项的值,暂且假定这个值为x。

(5)最后,以x值作为索引值,在AddressOfFunctions 字段指向的函数入口地址表中获取的RVA就是函数的入口地址。

跃然实验室
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件入口检测工具
11-27
计算PE文件入口地址,对标准PE文件,通过分析文件头部信息得到入口地址,为逆向工程提供方便。
VC 解析PE导出 导入
01-16
当其他程序需要调用某个DLL中的函数时,会通过导出找到相应的函数入口地址。在VC中,你可以通过以下方式查看或操作导出: 1. **使用DUMPBIN工具**:VC自带的DUMPBIN工具可以用来查看PE文件的各种信息,包括导出...
获取PE文件入口
::CreateFile
09-26 4707
<br />大家好,最近在网上看了一下PE文件结构的解释的文章,里面有一个修改PE文件的示例,是向PE文件插入一个消息框,以让目标PE文件执行时首先显示插入的消息框,其中有一段代码如下:<br /><br />//计算新的程序入口地址<br />DWORD dwNewEntryAddress = dwEntryWrite + dwCodeOffset;<br /><br />这段代码我看不明白,为什么要在最后加上代码偏移值呢?被写入的代码是写在dwEntryWrite地址处,把入口改在这个地方不就可以了么
C++获取PE文件入口
杨航的专栏
03-12 2112
2009-10-07 10:17 C++获取PE文件入口 源码: #include "stdafx.h" #include #include using namespace std; int main(int argc, char* argv[]) { char *FileName = argv[1]; HANDLE hFile = CreateFile(Fi
PE文件格式概述
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
VC读取PE文件的OEP(程序入口
weixin_33797791的博客
06-12 812
为什么80%的码农都做不了架构师?>>> ...
易语言PE查看器-易语言
06-13
文件头包含了关于程序的重要元数据,如文件类型、入口地址等;节区则详细列出了程序的不同部分,如.text(代码)、.data(初始化数据)等;导入导出则记录了程序对外部函数的依赖和提供的服务;资源目录则包含...
PE-Files-Import-Table-Rebuilding.rar_Table
09-21
3. **导入地址(IAT)**:在程序运行时,导入地址会填充实际函数的地址,使得程序可以调用这些函数。 在某些情况下,我们可能需要重建PE文件的导入,比如在处理损坏的PE文件、逆向工程或软件调试时。重建导入...
PED - PE dumper/disassembler-开源
04-26
- `tables.c`:这可能是包含数据查找的源代码,用于支持反汇编或其他解析功能。 - `disasm.c`:这个文件很可能是反汇编器的主要实现部分,负责将机器指令转换为汇编代码。 - `main.c`:这是程序的主入口,...
Python-abf抽象操纵二进制格式ELFPEandMachOformat
08-10
这个Python库可能提供了处理PE文件的API,允许开发者访问PE头、导入导出等关键部分。 Mach-O是Apple macOS和iOS系统的二进制文件格式,它结合了ELF和PE的一些特性。Mach-O文件包含了多个加载命令,这些命令...
pe框架跳转html页面,关于pe中的入口和跳转问题
weixin_42511712的博客
06-03 473
关于pe中的入口和跳转问题作者:admin 日期:2009-08-27字体大小: 小 中 大 pe里面的入口和跳转问题。在我一开始学习pe的时候曾经就被这两个问题困惑过,可能很多朋友在学习的过程中也会遇到,所以我想在这里把这两个问题说清楚一。没什么技术含量大牛飘过啦。大家知道pe入口是在IMAGE_FILE_HEADER里面AddressOfEntryPoint指定的。其实这个说得挺清楚...
C语言编程获取PE文件导入函数
一根火柴博客
02-02 906
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageN
PE结构---获取导入中函数的实际地址
93Storm
12-17 868
系统流程图 流程图简要概述: 第一步:通过枚举模块,后去.exe的加载地址,这个地址就是PE在进程中的加载基址。 第二步:计算出导出的位置。 第三步:将目标进程中的数据读到本进程中。 示例代码下载地址: http://download.csdn.net/detail/qq_21000273/9362435
PE文件结构
c630843901的博客
04-28 633
文章目录DOS头PE头区段区段理解一下 简述:PE文件分为5个部分 DOS文件头 DOS加载模块 PE文件头 区段 区段 PE文件中显示的地址全部都是RVA,换算成VA需要加上基地址ImageBase与文件偏移地址RVA 虚拟地址(VA):每个32位PE文件被加载到内存中会分配4GB的虚拟内存,虚拟地址=基址+程序相对地址 相对虚拟地址(RVA):是当PE文件被展开时相对于文件头的地址,这个地址+ImageBase就是真正的虚拟地址 程序入口 (EOP):程序开始执行的地方 DOS头 DOS
PE文件解析--导出
qq_31125257的博客
12-22 1371
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
PE文件:(1)基础知识
weixin_43972499的博客
04-06 544
基础知识基本概念PE文件结构Dos头NT头(1)PE标志(2)文件头(3)可选头区段总结 基本概念   PE文件的全称是"Portable Executable File Format",也就是可移植的执行体,目前是Windows平台上的主流可执行文件格式。   PE文件使用的是一个平面地址空间,所有的代码和数据都合并在了一起,组成了一个完整的文件结构。文件内容被分成了不同的部分区段,区段中包含文件基本信息、数据、代码,各个区段按页大小对齐,每个区段都有自己的属性,如是否可读、可写和可执行。 PE文件结构
获取程序入口
Non_function的博客
12-15 729
入口介绍: 一个程序从最开头往下算大致可以分为DOS头,DOS头相关数据,PE头,然后才是文件数据,我们要找的入口地址写在了PE头里面。DOS头的长度是固定的,但其相关数据是不固定的,好在DOS头里有一个LONG类型的e_lfanew,这个变量记载了PE头相对DOS头的偏移。 IMAGE_NT_HEADERS是PE头结构体的宏,在32位和64位下分别对应_IMAGE_NT_HEADERS和_IMAGE_NT_HEADERS64。 typedef struct _IMAGE_NT_HEADERS
PE文件详解(六)
Masimaro的专栏
03-21 3031
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节和数据目录,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录进行索引和通过节进行索引都是可以找到的,也可以这么说,同一个数据在节和数据目录中都有一份索引值,那么这两个有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
实验7 pe导出分析及应用
最新发布
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们可以通过使用工具如PEview、PE Explorer等对PE文件导出进行分析,了解其中包含的函数和变量信息。同时,我们还可以使用工具如DLL Export Viewer、Dependency Walker等来查看DLL文件导出信息。 在实际应用中,Pe导出分析可以用于以下方面: - 程序调试和逆向工程:通过分析导出中的函数和变量,可以帮助我们了解程序的逻辑和调用关系,从而进行调试和逆向分析。 - 恶意程序检测:恶意程序通常会使用一些特定的函数和变量来实现其攻击功能,通过分析导出中的函数和变量,可以帮助我们快速识别和查找这些恶意代码。 - 应用程序开发:在开发应用程序时,我们可以利用导出中的函数和变量实现各种功能,如调用系统API、实现插件机制等。 总之,Pe导出分析是一个非常有用的技能,可以帮助我们更好地理解和应用PE文件和DLL文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值