pe结构分析-解析导出表(一)

最新推荐文章于 2023-04-03 20:57:42 发布
最新推荐文章于 2023-04-03 20:57:42 发布
阅读量340 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freshfox/article/details/101675528
版权

导出表函数地址查询规则:

1. 按照名称查找: 先找到名称, 然后对应同一索引的  AddressOfNameOrdinals 表中的记录 id , 那这个id 做索引查询 AddressOfFunctions 表即可。 

2. 按照 序号  查找: 序号- base 做为    AddressOfFunctions 表即可。

 

几点说明:

1.  base 是序号开始的值。

2. NumberOfFunctions 并不是导出函数的个数, 而是序号表中最大的值减去最小值。   

 

freshfox
关注
专栏目录
PE结构-导出
小喇叭儿滴滴的吹
03-02 412
在上一篇博客中说了导入,所谓的导入,其实相当于记录程序所依赖的函数库信息,类似于你要调用外部函数,总得记录下这个函数在哪个库中,名字或者序号是什么。有了这些信息后,我们就可以LoadLibrary和GetProcAddress获取函数地址了 那么,操作系统是如何来获取函数地址呢,也就是GetProcAddress的实现,这里就涉及到了导出导出,会记录这个库函数的地址是多少,所以简单来说...
PE文件结构详解(三)PE导出
热门推荐
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
PE结构导出详细解析
huobengle
01-27 523
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
PE文件学习笔记(三):导出(Export Table)解析
Apollon_krj的博客
08-17 6365
数据目录(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十六个元素分别存储了不同信息,分别是:导入导出、资源、异常信息、安全证书、重定位、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的有:导出、导入、重定位、IA
PE格式详细讲解9 - 系统篇09|解密系列
weixin_34067980的博客
06-29 141
PE格式详细讲解9-系统篇09 让编程改变世界 Change the world by program 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导出(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 基础补充: 很多朋友可能看到这里...
PE结构->【导出】工具包
06-22
本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address Table, EAT)**:这是导出的核心,记录了导出函数的实际地址。EAT由一系列导出函数项组成,每个函数...
PE结构->【导出】Export
u011513939的博客
06-22 513
PE 文件被执行的时候,Windows 加载器将文件装入内存并将导出(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的。动态链接库可以使用应用程序的资源,它所拥有的资源也可以被应用
PE基础学习-手动查询导出练习DLL
10-12
3. **解析导出**:导出通常包含导出函数的名字、序号、地址等信息。通过导出结构体,可以获取到这些信息。 4. **处理导出函数**:根据导出函数的信息,可以找到函数的名称、虚拟地址和导出序号,从而实现...
PE导出查看器-易语言
06-11
4. **导出目录(Export Directory)**:这是一个结构体,包含了导出的起始地址、大小等信息,是解析导出的入口。 易语言是一种中国本土开发的编程语言,它以中文编程为特色,适合初学者和专业开发者。在这个...
易语言pe结构分析源码-易语言
06-13
《易语言PE结构分析源码解析》 易语言,一种以中文编程为特色的编程环境,以其易学易用的特点在中国编程领域占据了一席之地。在深入理解易语言的基础上,掌握PE(Portable Executable)结构分析是提升编程技能的...
PE结构(一)导出
weixin_37673331的博客
02-27 347
导出结构 主要记三张对应关系即可其他结构参照pe结构图一目了然 AddressOfFunctions AddressOfNameOrdinals AddressOfNames 函数地址为准,可以理解为主索引 导出的ordinal+base才是真正的ordinal,图中红色部分ordinal为4,即函数地址中第5条 名字地址索引与ordinal索引一致,一对一。 上代码 # defin...
导出解析
qq_58405021的博客
01-03 227
导出解析
解析导出
最新发布
tscg_的博客
04-03 184
假设现在有一个exe程序使用了一个dll,对于这个exe程序而言,dll文件就相当于一个黑盒子,里面装的内容exe一点也不清楚。所以什么是导出导出就是dll的一份清单,里面记录了它有多少个函数,函数的地址等相关信息补充:exe并不是没有导出,而是大部分exe没有导出另外,数据目录有16个,其中第一个就是导出
23. PE结构-PE详解之输出导出
墨痕诉清风的博客
03-05 3473
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
[转载]解析PE结构之-----导出
m0_37442062的博客
12-07 333
PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。 我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。通过我先前文章手写的Hello World程序可以看出,要使用任...
手工解析PE(导出)
GNAIXGNAHZ的博客
06-19 256
手工解析PE(导出)
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 318
笔记:PE结构(6)导出解析
PE文件的导出解析
做一个快乐学习者
05-31 371
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics;//保留,一直都是00000000 DWORD TimeDateStamp;//导出创建的时间(GMT) WORD MajorVersion;//导出的主版本号 WORD MinorVersion;//导出的次版本号 DWORD ...
Windows PE文件结构详析与关键数据结构解析
PE文件结构详解是一篇深入解析Windows NT引入的PE(Portable Executable)文件格式的文章。PE文件格式是在Windows NT 3.1中启用的一种新的可执行文件格式,它的设计灵感来源于UNIX的COFF规范,同时为了保持向后兼容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值