PE 文件格之导入导出表

最新推荐文章于 2022-04-06 02:51:21 发布
最新推荐文章于 2022-04-06 02:51:21 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: windows PE 文章标签: windows Windows WINDOWS WIndows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he702477275/article/details/8476435
版权
本文详细介绍了PE文件格式中的导入导出表,包括如何将虚拟地址转换为文件地址,以及如何解析OriginalFirstThunk和FirstThunk的区别。通过实例展示了如何找到并解析DLL的导入导出信息,如API序号、函数地址等,帮助理解PE文件结构。
摘要由CSDN通过智能技术生成
PE 文件格之导入导出表
先将源码贴上: 


#include <stdio.h>
#include "windows.h"
BOOL DirInSecton(PIMAGE_DATA_DIRECTORY ndir,PIMAGE_SECTION_HEADER nsection)
{
	if(ndir->VirtualAddress>=nsection->VirtualAddress&&ndir->VirtualAddress<=nsection->VirtualAddress+nsection->Misc.VirtualSize)
	{
		return TRUE;
	}
	return FALSE;
}
void AnyImportFromFile(PIMAGE_SECTION_HEADER Section,PIMAGE_NT_HEADERS npe,char *filePath)//导入表
{
	IMAGE_DATA_DIRECTORY* IMAGE_Import = &npe->OptionalHeader.DataDirectory[1];
	int IMAGE_Import_ID = -1;
	//从所有节点中打到,所属于的结点位置
	for (int i = 0 ; i < npe->FileHeader.NumberOfSections ; ++i)
	{
		if(DirInSecton(IMAGE_Import,Section+i))
		{
			IMAGE_Import_ID = i;break;
		}
	}
	//如果找到了
	if(IMAGE_Import_ID>=0)
	{
		//VirtualAddress 虚拟地址的起始位置,PointerToRawData 是文件中的起始位置。但是,它们的偏移是一样的
		//IMAGE_Import->VirtualAddress 要将这个虚拟地址,转化为文件的地址,所以如下。
		int n_Import_file=Section[IMAGE_Import_ID].VirtualAddress-Section[IMAGE_Import_ID].PointerToRawData;//相对值,RVA与PTRD想对值 
		int n_Import=IMAGE_Import->VirtualAddress-n_Import_file;//将位置进行转换
		IMAGE_IMPORT_DESCRIPTOR dll;
		IMAGE_IMPORT_DESCRIPTOR zero_dll = {0};//主要是为了用空比较
		HANDLE file=INVALID_HANDLE_VALUE;
		DWORD lpNumberOfBytesRead;
		try
		{
			file=CreateFile(filePath,GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_ATTRIBUTE_READONLY,0);//打开文件 
			if(file==INVALID_HANDLE_VALUE ) return ;//如果错误
			int Dllnum = 0;//记录dll个数
			SetFilePointer(file,n_Import,0,FILE_BEGIN);//设置位置
			while (1)//主要是统计dll个数
			{
				ReadFile(file,&dll,sizeof(IMAGE_IMPORT_DESCRIPTOR),&lpNumberOfBytesRead,0);//读取,
				if(memcmp(&zero_dll,&dll,sizeof(IMAGE_IMPORT_DESCRIPTOR)) == 0)//直到为空就停止
					break;
				Dllnum ++;
			}
			if(Dllnum == 0)
				throw  (1);
			PIMAGE_IMPORT_DESCRIPTOR PDll = new IMAGE_IMPORT_DESCRIPTOR[Dllnum];//为其分配空间
			int i = 0;
			SetFilePointer(file,n_Import,0,FILE_BEGIN);//设置位置
			//为得到 dll个数
			while (1)
			{
				ReadFile(file,&PDll[i],sizeof(IMAGE_IMPORT_DESCRIPTOR),&lpNumberOfBytesRead,0);//读取,
				if(memcmp(&zero_dll,&PDll[i],sizeof(IMAGE_IMPORT_DESCRIPTOR)) == 0)//直到为空就停止
					break;
				i++;
			}
			char Temp[256]={0};
			printf("导入表\n");
			//枚举
			for (i = 0 ; i < Dllnum ; ++i)
			{
				SetFilePointer(file,PDll[i].Name-n_Import_file,NULL,FILE_BEGIN);
				ReadFile(file,Temp,100,&lpNumberOfBytesRead,0);//读取名字
				printf("%s ",Temp);
				printf(" RVA:%08X\n",PDll[i].Name+npe->OptionalHeader.ImageBase);
				char name[MAX_PATH]={0};
				int vadd=0;
				DWORD nameadd=0;
				int j  = 0;
				//循环,导入表的函数
				do 
				{
					//进入
					if(PDll[i].OriginalFirstThunk > 0)
						SetFilePointer(file,PDll[i].OriginalFirstThunk-n_Import_file+vadd,NULL,FILE_BEGIN);//从原始表
					else
						SetFilePointer(file,PDll[i].FirstThunk-n_Import_file+vadd,NULL,FILE_BEGIN);//如果上面不成功
					ReadFile(file,&nameadd,4,&lpNumberOfBytes
最低0.47元/天 解锁文章
he702477275
关注
专栏目录
易语言源码易语言导入导出PE源码.rar
03-31
4. PE结构:深入理解PE的内部结构是进行导入导出操作的基础。PE由多个节区(Section)组成,每个节区包含特定的数据或代码。其中,导入目录(Import Directory)和导出目录(Export Directory)分别用于存放...
WindowsPE式之输入
无名J0kзr的博客
03-21 551
文章目录杂数据目录输入 杂 前文是 操作系统:32位PE文件结构 数据目录 位置:ImageNtHeaders->OptionalHeader->DataDirectory 描述:由NumberOfRvaAndSizes个IMAGE_DATA_DIRECTORY结构体组成的数组 包含有:输入、输出、资源、重定位等数据目录项的RVA和大小 输入、输出又称导入导出 输入 ...
导入内注入代码(一)
domisou
09-23 2050
 导入内注入代码(一)作者: Ashkbiz Danehkar翻译:小刀人原文出处下载源代码(包括:itview.zip (87.1 KB) pemaker6.zip (96.6 KB) pemaker7.zip (193 KB)zimport.zip (130 KB)。译注:本文代码可在VS2003及WINDOWSXP+sp2下正常运行,Windows2000下ITview功能
PE文件详解(六)
Masimaro的专栏
03-21 3073
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节和数据目录,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录进行索引和通过节进行索引都是可以找到的,也可以这么说,同一个数据在节和数据目录中都有一份索引值,那么这两个有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
易语言导入导出PE
07-22
易语言导入导出PE源码,导入导出PE,ExportsDLLFunction,LOWORD,ImageRvaToVa,API_创建文件,API_创建文件映射对象,API_MapViewOfFile,API_UnmapViewOfFile,API_关闭内核对象
Windows PE文件导入导出接口分析工具
11-22
本软件是一个用来分析PE程序文件的输出函数,及其依赖列导入库及函数名称)的免费工具。 软件无须安装,无任何插件或捆绑软件,只需解压即可运行。 (PE是指Windows操作系统中的可执行文件,比如.exe,.dll,....
修复PE 文件导入
09-02
"PEConsole"可能是一个包含示例代码的VS2003工程,提供了修复PE文件导入的功能。通过查看和学习这个工程,我们可以更深入地理解导入的结构以及如何进行修复操作。在实际应用中,这样的工具对于调试、逆向工程、...
PE结构->【输入】Import【下】
u011513939的博客
06-21 369
输入结构回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入的。而输入是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。 每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多少个链接
PE文件学习笔记(一)---导入导出
还木人的博客
10-07 3195
最近在看《黑卡免杀攻防》,对讲解的PE文件导入导出的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入导入机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
PE文件——导入&导出&函数覆盖
Woolemon的博客
04-06 6372
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
用Winhex软件解析PE文件
考拉研究僧的博客
11-12 5952
打开user32.dll3C H 处为PE头位置:0x F8 DOS头部分: 转到0x F8处PE文件标志(4H字节):0x 00 00 45 50映像文件头(14H字节):NumberOfSections : 0x 00 06 –> 6 SizeOfOptionalHeader:0x 00 E0 –> 224可选映像头: 部分 SizeOfCode(可执行代码长度): 0x 00 08
PE 文件结构分析
flyingleo1981的专栏
11-29 608
PE文件式详解 标 题: 【翻译】“PE文件式”1.9版 完整译文(附注释)  作 者: ah007  时 间: 2006-02-28,13:32 链 接: http://bbs.pediy.com/showthread.php?threadid=21932 $Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $ P
12.PE文件导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5764
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
PE文件导出解析
windows小菜鸡的博客
08-16 982
1、导出的结构 导出是option可选PE头的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称的RVA,需要转为FOA,每个存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称找到Ordinals下标,然后通过下标在Or
图文介绍:Winhex的使用教程
ttuiop的专栏
10-11 9263
一、Winhex的使用用Winhex打开要修改的文件,显示如下界面:任何一个存储在计算机上的文件都可以认为是由最基本的0和1组成的,Winhex便是将这些文件以二进制形式打开。不过显示的时候是十六进制,一位十六进制相当于四位二进制,两位十六进制相当于八位二进制即一个字节,每个字节即对应一个地址。左边那一列是行标,上边那一行是列标,行标和列标便组成了地址。如6BFA3003这个地址,其行标便是6BFA3000,列标为3。想要修改数值,直接键盘输入即可。一个基本常识:对于有多位的十六进制数值而言,存储方式是低位
导入
zzx的博客
12-14 329
标题:[笨笨之菜鸟应该明白之一]IAT导入之间的关联 作者:笨笨学破解 洋名:EasyStudy 日期:NOP掉 工具:什么都有!:) 注意:截图就能省就省了吧!太累人撒!就生硬的文字吧! 一、前言             大家好!我又来了,一直想写个XXX之二的。但是,现在觉得写不大好!明年吧!呵呵~~   最近,想发点东西给大家,但是苦于没什么好发的,因为本人
PE文件导入定位
一个热爱逆向,喜爱学习、分享的猿。
07-05 1545
使用16进制编辑器,在PE文件种定位到导入的过程。
易语言实现PE导入导出功能源码解析
资源摘要信息: 本资源包含了易语言环境下进行PE(Portable Executable,可移植可执行)文件导入导出操作的源码及其使用说明文档。易语言是一种简单易学的编程语言,主要面向中文用户,广泛用于Windows平台下的软件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值