使用汇编取得PE文件导入的DLL名称和函数名称

最新推荐文章于 2022-08-22 17:51:52 发布
最新推荐文章于 2022-08-22 17:51:52 发布
阅读量934 收藏
点赞数
文章标签: dll 汇编 image header descriptor import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangshunbao/article/details/1515953
版权

小弟我原是C程序,最近迷上汇编,先拿PE文件做练手,写了一段程序,用于PE文件入的DLL以及相函数信息,有不足之处请指教。

的解 释请 参考代 中的相 。(不要骂我懒,其实我不忙。)
 
; 小弟用的是 RadASM2.2.1.1+ masm32 进行编辑和编译
; 感谢 Iczelion 提供如此详尽的 PE 文件讲解。
.386
.model flat,stdcall
include /masm32/include/windows.inc
include /masm32/include/user32.inc
include /masm32/include/kernel32.inc
include /masm32/include/comdlg32.inc
 
includelib /masm32/lib/user32.lib
includelib /masm32/lib/kernel32.lib
includelib /masm32/lib/comdlg32.lib
 
ERROR_INFO_LEN equ             1024
 
MyMain proto :DWORD, :DWORD
RVAToOffset proto dwMapAddr:DWORD, dwRVA:DWORD
 
.data
        dwRet                   DWORD                   0
        hFile                     HANDLE                  INVALID_HANDLE_VALUE
        hFileMap               HANDLE                  0
        lpMapAddr             LPVOID                   0
        szErrorInfo             db                           "This file is a not PE file", 0
        szSuccessInfo       db                           "This file is a PE file", 0
        szHInfo                  db                          "PE info", 0
        wVirtualAddress      DWORD                   0
 
        ofn                        OPENFILENAME        <>
        FilterString            db                      "Executable Files (*.exe, *.dll)",0,"*.exe;*.dll",0
                                    db                      "All Files",0,"*.*",0,0
        szFormatStr           db                      "%d(0x%08X)",0
        szStrFormatStr       db                      "%s", 0DH, 0AH, 0
       szNameBuf             db                      ERROR_INFO_LEN dup (0)
        szSectionFormatInfo      db                  "SectionName = %s V.Size = %d V.Address = 0x%08X Raw Size = %d Raw Offset = 0x%08X Characteristics = 0x%08X", 0
   
.data?
        hModelIns               HINSTANCE                ?
        szCommLine           LPSTR                        ?
        buffer                     db                                512 dup(?)
        szOutInfo               BYTE                           ERROR_INFO_LEN dup(0)
 
.code
My_Start_Lable:
        invoke GetModuleHandle,NULL
        mov hModelIns, eax
       
        invoke GetCommandLine
        mov szCommLine, eax
       
        invoke MyMain, hModelIns, szCommLine
        mov dwRet, eax
        invoke ExitProcess, 0
 
; 自定义入口函数
MyMain proc hInst:HINSTANCE, CmdLine:LPSTR
       
        ; 定义临时变量
        LOCAL bRet[1]:BYTE
        LOCAL wSecCon:WORD
        LOCAL wSecConTem:WORD
        LOCAL szAddr:DWORD
        LOCAL dwFunCon:DWORD
       
        mov bRet, 0
        mov wSecCon, 0
        mov wSecConTem, 0
        mov szAddr, 0
        mov dwFunCon, 0
       
        mov ofn.lStructSize,SIZEOF ofn
        mov ofn.lpstrFilter, OFFSET FilterString
        mov ofn.lpstrFile, OFFSET buffer
        mov ofn.nMaxFile,512
        mov ofn.Flags, OFN_FILEMUSTEXIST or OFN_PATHMUSTEXIST or OFN_LONGNAMES or OFN_EXPLORER or OFN_HIDEREADONLY
        ; 使用打开对话框打开一个 PE 文件
        invoke GetOpenFileName, ADDR ofn
        ; 打开指定的 PE 文件,为之后的内存映射做准备
        invoke CreateFile, ADDR buffer, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL
        ; 返回值判断(是不是只要是 WindowsAPI ,函数的返回值都使用 eax ?请大虾指教)
        mov hFile, eax
       
        .if hFile == INVALID_HANDLE_VALUE
                jmp END_MyMain
        .endif
        ; 创建内存映射
        invoke CreateFileMapping, hFile, NULL, PAGE_READONLY, 0, 0, NULL
        mov hFileMap, eax
       
        .if hFileMap == 0
                jmp END_MyMain
        .endif
       
        invoke MapViewOfFile, hFileMap, FILE_MAP_READ, 0, 0, 0
        mov lpMapAddr, eax
       
        mov edi, lpMapAddr
        assume edi:ptr IMAGE_DOS_HEADER
        ; 判断 DOS 头的合法性
        .if [edi].e_magic != IMAGE_DOS_SIGNATURE
                jmp END_MyMain
        .endif
       
        add edi, [edi].e_lfanew
        assume edi:ptr IMAGE_NT_HEADERS
        ; 判断 PE 文件的合法性
        .if [edi].Signature != IMAGE_NT_SIGNATURE
                jmp END_MyMain
        .endif
       
        mov dx, [edi].FileHeader.NumberOfSections
        mov wSecCon, dx
       
        invoke wsprintf, addr szOutInfo, addr szFormatStr, wSecCon, wSecCon
        ; 定位到节表
        add edi, sizeof IMAGE_NT_HEADERS       
        mov esi, edi
        assume esi:ptr IMAGE_SECTION_HEADER
       
        mov dx, wSecCon
        mov wSecConTem, dx
; 取得节表信息
get_section_info:
       
        invoke RtlZeroMemory, addr szOutInfo, sizeof szOutInfo
       
        invoke wsprintf, addr szOutInfo, addr szSectionFormatInfo, addr [esi].Name1, [esi].Misc.VirtualSize, [esi].VirtualAddress, [esi].SizeOfRawData, [esi].PointerToRawData, [esi].Characteristics
       
        add esi, sizeof IMAGE_SECTION_HEADER
        assume esi:ptr IMAGE_SECTION_HEADER
       
        DEC wSecConTem
        .if wSecConTem > 0
                jmp get_section_info
        .endif
       
; 取得导入的 DLL 信息
        mov edi, lpMapAddr
        assume edi:ptr IMAGE_DOS_HEADER
        add edi, [edi].e_lfanew
        assume edi:ptr IMAGE_NT_HEADERS
        add edi, sizeof IMAGE_NT_HEADERS
        sub edi, sizeof IMAGE_DATA_DIRECTORY * 15
        assume edi:ptr IMAGE_DATA_DIRECTORY
 
        invoke RVAToOffset, lpMapAddr, [edi].VirtualAddress
        .if eax == 0
                jmp END_MyMain
        .endif
       
        mov edi, eax
        add edi, lpMapAddr
        assume edi:ptr IMAGE_IMPORT_DESCRIPTOR
       
OUTPUT_IMPORT_INFO_BEGIN:
        mov esi, [edi].OriginalFirstThunk
        .if [edi].OriginalFirstThunk == 0
                .if [edi].FirstThunk == 0
                        jmp OUTPUT_IMPORT_INFO_END                     
                .endif
                mov esi, [edi].FirstThunk
        .endif
        ; 取得当前导入的 DLL 名称
        invoke RtlZeroMemory, addr szOutInfo, sizeof szOutInfo
        invoke RVAToOffset, lpMapAddr, [edi].Name1
        add eax, lpMapAddr
        invoke wsprintf, addr szOutInfo, addr szStrFormatStr, eax
 
        invoke RVAToOffset, lpMapAddr, esi
        mov esi, eax
        add esi, lpMapAddr
; 取得当前 DLL 所有导入的函数名称
GET_FUNCTIOM_BEGIN:
        .if dword ptr [esi] == NULL
                jmp GET_FUNCTIOM_END
        .endif
       
        invoke RVAToOffset, lpMapAddr, dword ptr[esi]
        add eax, lpMapAddr
        mov szAddr, eax
 
        invoke RtlZeroMemory, addr szNameBuf, sizeof szNameBuf
        mov edx, szAddr
        assume edx:ptr IMAGE_IMPORT_BY_NAME
        invoke wsprintf, addr szNameBuf, addr szStrFormatStr, addr [edx].Name1
        invoke lstrcat, addr szOutInfo, addr szNameBuf
       
        add esi, sizeof IMAGE_THUNK_DATA
        jmp GET_FUNCTIOM_BEGIN
GET_FUNCTIOM_END:
 
        invoke MessageBox, NULL, addr szOutInfo, addr szHInfo, MB_OK
 
        add edi, sizeof IMAGE_IMPORT_DESCRIPTOR
        jmp OUTPUT_IMPORT_INFO_BEGIN
OUTPUT_IMPORT_INFO_END:
        ; 显示当前 DLL 和函数名称
        invoke MessageBox, NULL, addr szOutInfo, addr szHInfo, MB_OK
 
        mov bRet, TRUE 
       
        invoke MessageBox, NULL, addr szSuccessInfo, addr szHInfo, MB_OK
END_MyMain:
       
        .if bRet != TRUE
                invoke GetLastError
                invoke MessageBox, NULL, addr szErrorInfo, addr szHInfo, MB_OK
        .endif
 
        .if hFile != INVALID_HANDLE_VALUE
                invoke CloseHandle, hFile
                mov hFile, INVALID_HANDLE_VALUE
        .endif
       
        .if hFileMap != 0
                .if lpMapAddr != 0
                        invoke UnmapViewOfFile, lpMapAddr
                        mov lpMapAddr, 0
                .endif
               
                invoke CloseHandle, hFileMap
                mov hFileMap, 0
        .endif
       
        ret
MyMain endp
 
; 此函数将相对虚拟地址( RVA )转换为文件偏移
RVAToOffset PROC dwMapAddr:DWORD, dwRVA:DWORD
        xor eax, eax
        xor ebx, ebx
        xor ecx, ecx
        xor edx, edx
       
        mov ebx, dwMapAddr
        assume ebx:ptr IMAGE_DOS_HEADER
        add ebx, [ebx].e_lfanew
        assume ebx:ptr IMAGE_NT_HEADERS
        mov cx, [ebx].FileHeader.NumberOfSections
        add ebx, sizeof IMAGE_NT_HEADERS
       
        mov edx, dwRVA
       
SET_RVA:
        assume ebx:ptr IMAGE_SECTION_HEADER
       
        .if edx >= [ebx].VirtualAddress
                mov eax, [ebx].VirtualAddress
                add eax, [ebx].SizeOfRawData
                .if edx < eax
                        mov eax, [ebx].VirtualAddress
                        sub edx, eax
                        add edx, [ebx].PointerToRawData
                        mov eax, edx
                        ret
                .endif
        .endif
        add ebx, sizeof IMAGE_SECTION_HEADER
        loop SET_RVA
        mov eax, 0
        ret
RVAToOffset endp
 
end My_Start_Lable
 
深山大王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件资源修改工具包
09-03
PeTool通常用于反汇编、打包或分析PE文件,它可以提供关于PE文件的详细信息,如导出函数导入函数、节区属性等,对于逆向工程和软件分析非常有帮助。 在实际应用中,这些工具对于软件开发者、逆向工程师、安全研究...
关于VC中生成的PE(exe, dll, sys...)文件中对函数名称的修饰
a ray of sunshine
10-12 1054
1.导出函数的方法: (1)在要导出的函数(signature)上添加关键字__declspec(dllexport) 例如: void __declspec(dllexport) _cdecl someFun() { printf("Hello, World!\n"); } 使用这种方法导出的函数函数名称修饰,为默认的修饰方法: (1).1
一段动态装载DLL的ShellCode汇编代码
09-10
一段动态装载DLL的ShellCode汇编代码,不需要引入任何的库
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 5564
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
masm.rar_WIN32汇编_pe_vxd_汇编 win32_汇编教程
09-14
PE教程会解释文件头、节区、导入和导出表等结构,这对于理解二进制分析和逆向工程至关重要。 VxD是在旧版Windows(如Windows 95/98)中使用的设备驱动程序模型,它允许驱动程序直接访问硬件并在用户模式下运行。...
关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
PE头(NT头)包含了关于PE文件的重要信息,如文件类型、目标CPU架构、导入和导出表等。节表定义了文件的数据和代码分布,每个节区都有自己的属性,如虚拟地址、大小等。 PE文件的修改通常涉及到以下几个方面: 1. ...
PE提取exe文件.rar
最新发布
03-16
在Windows系统中,无论是应用程序、系统服务还是动态链接库(DLL),都以PE文件的形式存在。PE格式允许包含代码、资源(如图标、字符串)、元数据等。 描述中提到的“可以对EXE进行提取里面的文件”,指的是从一个...
感染PE文件示例源码(C++与汇编
03-25
在C++中,可以使用如`WinAPI`这样的函数接口来操作文件和内存,获取和修改PE头信息,以及在目标文件中插入代码。 汇编语言,尽管更底层,但在处理内存和指令细节时更为灵活。汇编程序可以直接操纵内存和寄存器,这...
[源码和文档分享]根据PE文件格式从导入表中获取加载的DLL并遍历导入函数名称和地址...
qq_38474647的博客
12-30 206
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入表以及导出表的工作原理,又是重中之重。理解了 PE 格式的导入表,就可以修改 PE 格式进行 DLL 注入,也可以修改导入表实现 API HOOK 等。理解了 PE 格式的导出表,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数...
利用PE数据目录的导入表获取函数及其地址
编程菜鸟---正在努力进阶
06-24 6678
PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件(“PE00"字符串),紧接着是20字节的IMAGE_FILE_HEADER结构,它的后面是224字节的IMAGE
利用masm32输出PE文件头的基本属性
m0_52196359的博客
11-02 1475
利用masm32输出PE文件头的基本属性 文章目录利用masm32输出PE文件头的基本属性一、masm32中的INVOKE二、PE头格式三、读取代码 注:本文章作者水平较低,本文仅为作者自主实验时的学习笔记,如有不妥之处,还请指正,文中斜体皆为参考权威书籍 参考:《X86汇编语言》王爽 《加密与解密》第四版 《逆向工程核心原理》 工具:PEView,ollydbg,masm32环境 一、masm32中的INVOKE INVOKE伪指令仅在32位的情况下使用,将参数逆序(与声明参数顺序相反)入栈,它是cal
修改PE文件实现静态DLL注入
笔记本
05-07 5288
PE文件注入DLL一般来说分为两种,一种是动态的,就是在程序运行中注入。还有一种是静态的,也就是修改PE文件达到DLL注入的效果。直接上实验步骤 实验(经过处理的NotePad,输入表下面有大量0000空余,无需进行移位操作): 1.LoadPE查看输入表 可以看到输入表的RVA是00007604,转化成文件偏移是6A04(用LoadPE中的位置计算器计算),c32找到6A04处 2...
PE文件数字签信息读取存储及格式详解图之上(历史代码,贴出学习)
关注互联网安全的小虾米一枚
07-22 6734
PE文件数字签信息读取存储及格式详解图 。
dll的def文件与__declspec(dllexport)导出函数方式比较
Stone_Sky
08-28 2612
dll的def文件与__declspec(dllexport)导出函数方式比较 【__declspec(dllexport) 方式】 首先对C和C++编译(extern "C")与调用约定(__cdecl、__stdcall、__fastcall)进行组合测试: 【C++编译】 __declspec(dllexport) int add(int, int);
通过解析PE头,读取dll模块 和 dll模块函数
墨痕诉清风的博客
03-05 998
win32    int main() { //001e1000 ::MessageBox(NULL, TEXT("111"), TEXT("222"), 0); HMODULE vHmodule = GetModuleHandle(NULL); printf("vHmodule = 0x%08X\n", vHmodule); IMAGE_DOS_HEADER *vImageDosHead...
VC中使用汇编语言:函数模板与复杂宏实战
"这篇资料主要介绍了如何在Visual C++ (VC)环境中使用汇编语言,同时涵盖了函数模板、STL(Standard Template Library)、复杂宏以及汇编知识在C/C++编程中的应用。针对2013年兰桥杯软件大赛的变化,资料特别强调了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值