导出表 IMAGE_EXPORT_DIRECTORY

最新推荐文章于 2023-03-22 11:13:12 发布
最新推荐文章于 2023-03-22 11:13:12 发布
阅读量369 收藏 1
点赞数 1
原文链接:https://www.cnblogs.com/night-ride-depart/p/5777414.html
版权 
typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;    // 未使用,总为0     DWORD   TimeDateStamp;      // 文件创建时间戳
    WORD    MajorVersion;       // 未使用,总为0     WORD    MinorVersion;       // 未使用,总为0
    DWORD   Name;               // 指向一个代表此 DLL名字的 ASCII字符串的 RVA
    DWORD   Base;               // 函数的起始序号
    DWORD   NumberOfFunctions;  // 导出函数的总数    DWORD   NumberOfNames;      // 以名称方式导出的函数的总数    DWORD   AddressOfFunctions;     // 指向输出函数地址的RVA
    DWORD   AddressOfNames;         // 指向输出函数名字的RVA
    DWORD   AddressOfNameOrdinals;  // 指向输出函数序号的RVA} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

AddressOfFunctions 所指向内容是以 4 字节为一个单位的数组元素,每个元素代表函数入口

AddressOfNames 所指向内容是以 4 字节为一个单位的数组元素,每个元素代表一个指向字符串的 RVA

AddressOfNamesOrdinals 所指向内容是以 2 字节为一个单位的数组元素,每个元素代表对应名字在 AddressOfFunctions 中的序号数。

AddressOfNamesAddressOfNamesOrdinals 的数目肯定是一样的,不是一样那么就出错了。

主要要掌握两种寻找函数入口地址的方法:
A. 从序号查找函数入口地址

  1. 定位到PE 文件头

  2. 从PE 文件头中的 IMAGE_OPTIONAL_HEADER32 结构中取出数据目录表,并从第一个数据目录中得到导出表的RVA

  3. 从导出表的 Base 字段得到起始序号

  4. 将需要查找的导出序号减去起始序号Base,得到函数在入口地址表中的索引,检测索引值是否大于导出表的 NumberOfFunctions 字段的值,如果大于后者的话,说明输入的序号是无效的

  5. 用这个索引值在 AddressOfFunctions 字段指向的导出函数入口地址表中取出相应的项目,这就是函数入口地址的RVA 值,当函数被装入内存的时候,这个RVA 值加上模块实际装入的基地址,就得到了函数真正的入口地址
    B. 从函数名称查找入口地址
    我想通的地方,记录下来:用函数名来查找的话,Base 的值现在没有任何意义

  6. 首先得到导出表的地址

  7. 从导出表的 NumberOfNames 字段得到已命名函数的总数,并以这个数字作为循环的次数来构造一个循环,从 AddressOfNames 字段指向得到的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名相比较,如果没有任何一个函数名是符合的,表示文件中没有指定名称的函数。

  8. 如果某一项定义的函数名与要查找的函数名符合,那么记下这个函数名在字符串地址表中的索引值,然后在AddressOfNamesOrdinals 指向的数组中以同样的索引值取出数组项的值,我们这里假设这个值是 x

  9. 最后,以 x 的值作为索引值在 AddressOfFunctions 字段指向的函数入口地址表中获取 RVA 。此 RVA 就是函数的入口地址。

附上图片:
在这里插入图片描述

一个自闭的沙雕
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE总结8---PE文件结构之导出IMAGE_EXPORT_DIRECTORY
oBuYiSeng的博客
12-09 2315
导出由3个部分构成:  名称,   函数,   序号。   名称和序号就是索引,引导调用者找到真正的函数。   函数中保存着被导出函数的地址信息    导出在内存中的顺序是按照输出名称来确定的。     IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri
易语言输出DLL导出
07-22
易语言输出DLL导出源码,输出DLL导出,导出函数,lstrcpyn,RtlMoveMemory_IMAGE_DOS_HEADER_1,RtlMoveMemory_IMAGE_NT_HEADERS_1,RtlMoveMemory_IMAGE_EXPORT_DIRECTORY_1,RtlMoveMemory_Int_1,lstrlen
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1268
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3783
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出,DLL 文件可
11.PE文件之导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5428
目录 导出定位以及解析(手动) 代码定位导出并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
PE_导出
个人笔记
04-01 579
导出导出概念导出的作用导出数据结构(IMAGE_EXPORT_DIRECTORYIMAGE_EXPORT_DIRECTORY.nNameIMAGE_EXPORT_DIRECTORY.NumberOfFunctionsIMAGE_EXPORT_DIRECTORY.NumberOfNamesIMAGE_EXPORT_DIRECTORY.AddressOfFunctionsIMAGE_EXPORT_DIRECTORY.nBaseIMAGE_EXPORT_DIRECTORY.AddressOfNamesI
PE-导出
megaparsec
12-19 916
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
VC 解析PE导出 导入
01-16
此外,可以使用如`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`和`IMAGE_EXPORT_DIRECTORY`等结构体来解析PE文件的导出。 **导入**则是PE文件中另一个重要部分,它记录了该文件依赖于哪些其他模块(如DLL),以及...
易语言PE输出模块
08-16
易语言PE输出模块源码 系统结构:取输出,LoadLibrary,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS,RtlMoveMemory_IMAGE_EXPORT_DIRECTORY,RtlMoveMemory,lstrlen,FreeLibrary, ======程序集1...
Chart以图片形式导出到Word文档
12-06
public void Export() { string temppath = System.Environment.CurrentDirectory + @"\temp"; string picpath = DateTime.Now.ToString("yyyyMMddHHmmssfff") + ".jpg"; if (!Directory.Exists(temppath)) { ...
IMAGE_DATA_DIRECTORY DataDirectory
05-15
小甲鱼在讲解解密系列系统篇中用到的IMAGE_DATA_DIRECTORY DataDirectory元素索引对应的内容
PE_explorer.rar_Windows编程_Visual_C++_
08-12
5. **导出**:"ExportTable.cpp"解析导出,这是PE文件对外提供服务的部分。导出包含了函数名、地址和序号,允许其他程序调用本程序的函数。 在Visual C++环境中,利用WinAPI和Microsoft的SDK,开发者可以直接...
PE文件格式(二)
周星星的博客
10-20 1925
EAT是一种核心机制,它使不同的应用程序可以调用库文件中提供的函数。也就是说,只有通过EAT才能准确求得从相应库中导出函数的起始地址。
深入探究 Win32 PE 文件格式,第二部分
sqcfj的专栏
11-09 2510
深入探究 Win32 PE 文件格式,第二部分<br />Matt Pietrek<br />这篇文章假定你熟悉 C++ 和 Win32。<br />概述 Win32 可移植可执行(PE)文件格式被设计为可在所有版本的操作系统、所有受支持的处理器上都可使用的标准可执行文件格式。自从它被引入以来,PE 格式经历过一些大的变化,特别是 64 位 Windows 的出现。这篇文章的第一部分介绍了 RVA、数据目录和文件头。在第二部分将探究可执行文件中的各种节。包括导出节、导出转送、绑定和延迟加载。还包括调试目录、
ELF&PE 文件结构分析
Always On The Way
11-01 2289
ELF&amp;PE 文件结构分析 说简单点,ELF 对应于UNIX 下的文件,而PE 则是Windows 的可执行文件,分析ELF 和 PE 的文件结构,是逆向工程,或者是做调试,甚至是开发所应具备的基本能力。在进行逆向工程的开端,我们拿到ELF 文件,或者是PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。不说废话,开始分析: ELF和PE 文件都是基于Unix 的 COFF(...
PE结构学习(5)_导入导出
xf555er的博客
08-07 1018
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出里面任何PE文件还会调用哪些PE文件都会记录在导入里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入。...
PE导出,C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 806
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
IMAGE_EXPORT_DIRECTORY
夜空中最亮的星
10-30 2652
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //creation time date stamp WORD MajorVersion; WORD MinorVersion; DWORD Name; //address of library file
MemoryProfilerRuntimeWin.dll 导出 源码
最新发布
05-22
导出是一个二进制文件,内部存储了函数名和函数地址的对应关系。在 Windows 系统中,导出通常存储在 DLL 动态链接库中,供程序在运行时调用。 如果想查看 MemoryProfilerRuntimeWin.dll 的导出,可以使用 Visual Studio 自带的工具 dumpbin.exe。具体步骤如下: 1. 打开 Visual Studio 开发人员命令提示符,输入以下命令: ``` dumpbin /exports MemoryProfilerRuntimeWin.dll ``` 2. 运行命令后,会显示 MemoryProfilerRuntimeWin.dll 的导出信息,包括函数名和函数地址。 如果需要在代码中获取导出信息,可以使用 Win32 API 函数 EnumExports。具体使用方法可以参考以下代码: ``` HMODULE hModule = LoadLibrary(TEXT("MemoryProfilerRuntimeWin.dll")); if (hModule != NULL) { // 获取导出信息 DWORD dwSize = 0; PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)ImageDirectoryEntryToData(hModule, TRUE, IMAGE_DIRECTORY_ENTRY_EXPORT, &dwSize); if (pExportDir != NULL) { PDWORD pdwFuncName = (PDWORD)((DWORD)pExportDir + pExportDir->AddressOfNames); PDWORD pdwFuncAddr = (PDWORD)((DWORD)pExportDir + pExportDir->AddressOfFunctions); PWORD pwFuncOrd = (PWORD)((DWORD)pExportDir + pExportDir->AddressOfNameOrdinals); for (DWORD i = 0; i < pExportDir->NumberOfNames; i++) { // 获取函数名和函数地址 char* pszFuncName = (char*)((DWORD)hModule + pdwFuncName[i]); DWORD dwFuncAddr = (DWORD)hModule + pdwFuncAddr[pwFuncOrd[i]]; printf("%s: %x\n", pszFuncName, dwFuncAddr); } } FreeLibrary(hModule); } ``` 以上代码会依次输出 MemoryProfilerRuntimeWin.dll 中的所有导出函数名和函数地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值