滴水三期逆向基础系列(四)-解析导出表

最新推荐文章于 2024-01-18 16:00:41 发布
最新推荐文章于 2024-01-18 16:00:41 发布
阅读量640 收藏 1
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henuyl/article/details/105806043
版权

本来开开心心一遍过,自己写的DLL的文件也能解析出来,突然,我从崩坏3桌面版随便找了一个DLL拖进了我的程序,发现运行不正常,没想那么多,就去排查代码逻辑问题,从上到下看了个遍,发现,代码本没问题,后来,我突然发现,这是个64位PE文件(我不是应该早点发现吗!!),然后,改了一下,运行成功。

VOID ReturnAllExport(
	IN LPVOID pFileBuffer
){
	if(is64Bit){
		PIMAGE_DOS_HEADER idh = NULL;
		PIMAGE_NT_HEADERS64 inh = NULL;
		PIMAGE_OPTIONAL_HEADER64 ioh = NULL;
		PIMAGE_SECTION_HEADER ish = NULL;

		idh = (PIMAGE_DOS_HEADER)pFileBuffer;
		inh = (PIMAGE_NT_HEADERS64)((DWORD)pFileBuffer + idh->e_lfanew);
		ioh = &inh->OptionalHeader;
		ish = (PIMAGE_SECTION_HEADER)((DWORD)ioh + inh->FileHeader.SizeOfOptionalHeader);
	
		PIMAGE_DATA_DIRECTORY pdd = ioh->DataDirectory;
		cout << "=====" << hex << inh->OptionalHeader.DataDirectory[0].VirtualAddress << endl;
		if(pdd[0].VirtualAddress == 0){
			cout << "不存在导出表..." << endl;
			return ;
		}
		DWORD ExportVirtualAddrTemp = pdd[0].VirtualAddress;
		//ExportVirtualAddrTemp = 0x1060;
		DWORD ExportVirtualAddr = RVAToFOA(ExportVirtualAddrTemp, pFileBuffer);
		cout << hex << "ExportVirtualAddr = " << ExportVirtualAddr << endl;
	 
		PIMAGE_EXPORT_DIRECTORY ped = (PIMAGE_EXPORT_DIRECTORY)(ExportVirtualAddr + (DWORD)pFileBuffer);
		cout << hex << "-----------IMAGE_EXPORT_DIRECTORY---------" << endl;
		cout << hex << "-exportRVA                   = " << ExportVirtualAddrTemp       << endl;
		cout << hex << "-exportSize                  = " << pdd[0].Size                    << endl;
		cout << hex << "-exportName                  = " << ped->Name                   << endl;
		printf(        "-exportNameString            = %s\n", RVAToFOA(ped->Name, pFileBuffer) + (DWORD)pFileBuffer);
		cout << hex << "-exportBase                  = " << ped->Base                   << endl;
		cout << hex << "-exportNumberOfFunctions     = " << ped->NumberOfFunctions      << endl;
		cout << hex << "-exportNumberOfNames         = " << ped->NumberOfNames          << endl;
		cout << hex << "-exportAddressOfFunctions    = " << ped->AddressOfFunctions     << endl;
		cout << hex << "-exportAddressOfNames        = " << ped->AddressOfNames         << endl;
		cout << hex << "-exportAddressOfNameOrdinals = " << ped->AddressOfNameOrdinals  << endl;
		cout << hex << "-FunctionsDetail-------------------------------------------------" << endl;
		cout << hex << "-\t\tOrdinal\t\tRVA\t\tFunctionName" << endl;

		DWORD *addrFunctions = (DWORD *)((DWORD)pFileBuffer + RVAToFOA(ped->AddressOfFunctions, pFileBuffer));
		DWORD *addrName = (DWORD *)((DWORD)pFileBuffer + RVAToFOA(ped->AddressOfNames, pFileBuffer));
		WORD  *addrOrdinals = (WORD  *)((DWORD)pFileBuffer + RVAToFOA(ped->AddressOfNameOrdinals, pFileBuffer));
		DWORD i, j;
		for(i = 0; i < ped->NumberOfFunctions; i++){
			if(addrFunctions[i] == 0){
				continue;
			}
			for(j = 0; j < ped->NumberOfNames; j++){
				if(addrOrdinals[j] == i){
					printf("-\t\t%04x\t\t%08x\t%s\n", ped->Base + i, addrFunctions[i], RVAToFOA(addrName[j], pFileBuffer) + (DWORD)pFileBuffer);
					break;
				}
			}
			if(j != ped->NumberOfNames){
				continue;
			}
			else{
				printf("-\t\t%04x\t\t%08x\t%s\n", ped->Base + i, addrFunctions[i],"-----------------");
			}
		
		}
	}else{
		PIMAGE_DOS_HEADER idh = NULL;
		PIMAGE_NT_HEADERS inh = NULL;
		PIMAGE_OPTIONAL_HEADER ioh = NULL;
		PIMAGE_SECTION_HEADER ish = NULL;

		idh = (PIMAGE_DOS_HEADER)pFileBuffer;
		inh = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + idh->e_lfanew);
		ioh = &inh->OptionalHeader;
		ish = (PIMAGE_SECTION_HEADER)((DWORD)ioh + inh->FileHeader.SizeOfOptionalHeader);
	
		PIMAGE_DATA_DIRECTORY pdd = ioh->DataDirectory;
		cout << "=====" << hex << inh->OptionalHeader.DataDirectory[0].VirtualAddress << endl;
		if(pdd[0].VirtualAddress == 0){
			cout << "不存在导出表..." << endl;
			return ;
		}
		DWORD ExportVirtualAddrTemp = pdd[0].VirtualAddress;
		//ExportVirtualAddrTemp = 0x1060;
		DWORD ExportVirtualAddr = RVAToFOA(ExportVirtualAddrTemp, pFileBuffer);
		cout << hex << "ExportVirtualAddr = " << ExportVirtualAddr << endl;
	 
		PIMAGE_EXPORT_DIRECTORY ped = (PIMAGE_EXPORT_DIRECTORY)(ExportVirtualAddr + (DWORD)pFileBuffer);
		cout << hex << "-----------IMAGE_EXPORT_DIRECTORY---------" << endl;
		cout << hex << "-exportRVA                   = " << ExportVirtualAddrTemp       << endl;
		cout << hex << "-exportSize                  = " << pdd[0].Size                    << endl;
		cout << hex << "-exportName                  = " << ped->Name                   << endl;
		printf(        "-exportNameString            = %s\n", RVAToFOA(ped->Name, pFileBuffer) + (DWORD)pFileBuffer);
		cout << hex << "-exportBase                  = " << ped->Base                   << endl;
		cout << hex << "-exportNumberOfFunctions     = " << ped->NumberOfFunctions      << endl;
		cout << hex << "-exportNumberOfNames         = " << ped->NumberOfNames          << endl;
		cout << hex << "-exportAddressOfFunctions    = " << ped->AddressOfFunctions     << endl;
		cout << hex << "-exportAddressOfNames        = " << ped->AddressOfNames         << endl;
		cout << hex << "-exportAddressOfNameOrdinals = " << ped->AddressOfNameOrdinals  << endl;
		cout << hex << "-FunctionsDetail-------------------------------------------------" << endl;
		cout << hex << "-\t\tOrdinal\t\tRVA\t\tFunctionName" << endl;

		DWORD *addrFunctions = (DWORD *)((DWORD)pFileBuffer + RVAToFOA(ped->AddressOfFunctions, pFileBuffer));
		DWORD *addrName = (DWORD *)((DWORD)pFileBuffer + RVAToFOA(ped->AddressOfNames, pFileBuffer));
		WORD  *addrOrdinals = (WORD  *)((DWORD)pFileBuffer + RVAToFOA(ped->AddressOfNameOrdinals, pFileBuffer));
		DWORD i, j;
		for(i = 0; i < ped->NumberOfFunctions; i++){
			if(addrFunctions[i] == 0){
				continue;
			}
			for(j = 0; j < ped->NumberOfNames; j++){
				if(addrOrdinals[j] == i){
					printf("-\t\t%04x\t\t%08x\t%s\n", ped->Base + i, addrFunctions[i], RVAToFOA(addrName[j], pFileBuffer) + (DWORD)pFileBuffer);
					break;
				}
			}
			if(j != ped->NumberOfNames){
				continue;
			}
			else{
				printf("-\t\t%04x\t\t%08x\t%s\n", ped->Base + i, addrFunctions[i],"-----------------");
			}
		
		}
	}
	
	
}

 

henuyl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水三期视频+课件+笔记
07-13
滴水三期视频+课件,想要的都有了,别错过 滴水三期视频+课件,想要的都有了,别错过 滴水三期视频+课件,想要的都有了,别错过
滴水逆向三期课件(全)
11-20
滴水逆向初级班三期课件,全套包括 EXE 练手文件 配套电子书 推荐下载绝对不亏!!
滴水逆向三期实践11:导出
Rivival_S 的博客
10-28 1244
前面提到头OPTIONAL_HEADER的最后一项,是一个16个元素的结构体数组,为数据目录。 而数据目录项的第一个结构,就是动态链接库中经常提到的 导出. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIR...
滴水三期逆向基础系列(一)-读取文件到内存再读取回文件
henuyl的博客
04-22 1453
跟着滴水三期学了很长时间了,本着,每一点都要吃透的精神,跟“读文件到内存(拉伸),再读回文件(压缩回来)”杠了一天。先看看按着老师的架构写的代码吧(老师的代码有很多问题(可能是我太菜了吧),踩了很多坑,最后自己推翻重写,全改过来了。) 先看看全部函数的声明 #include <windows.h> #include <stdio.h> #define FilePa...
2021-04-06 函数的参数是如何入栈出栈的
mfmfmmf1的专栏
04-06 152
函数的参数是如何入栈出栈的 制作逆向靶 建议用debug版而不是release版,因为release版会自作聪明把很多东西省略掉 在调试器中 寄存器EIP 示当前程序走到哪一步了 ctrl+G 光标定位到某一地址 在单步调试中 右侧哪个寄存器变红了 就是哪个寄存器发生了变化 call 的第一个作用就是 将EIP的值改为函数所在的地址 由硬编码知识 可以计算出返回地址的值,举例 E8 84 FF FF FF (call stack.00401005) 这行硬编码是5个字节 所以 call完的返
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
总之,"滴水逆向3期作业"提供了一个实践性的平台,帮助学习者掌握PE文件解析和处理的核心概念,包括文件结构、内存映射以及如何进行文件操作。通过这个项目,你不仅可以提升逆向工程技能,还能对Windows应用程序的...
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水逆向培训基础教程1-5章(内部资料)
03-16
滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训...
滴水三期学习资料汇总.zip
07-04
滴水逆向三期课件资料工具习题汇总,学习逆向必看资源,若是不想自己记笔记可以用点积分节省下时间。 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出...
滴水逆向三期课件(全)
06-02
滴水逆向课程课件,完整版! 滴水逆向课程课件,完整版!
滴水三期完整版(96课时)
04-20
第1讲:2015-01-12(进制01) 第2讲:2015-01-13(进制02) 第3讲:2015-01-14(数据宽度-逻辑运算03) 第4讲:2015-01-15(通用寄存器-内存读写04) 第5讲:2015-01-16(内存寻址-堆栈05) 第6讲:2015-01-19(EFLAGS寄存器06) 第7讲:2015-01-20(JCC) 第8讲:2015-01-21(堆栈图) 第8讲:2015-01-21(宝马问题) 第9讲:2015-01-22(堆栈图2) 第10讲:2015-01-23(C语言01_后半段) 第10讲:2015-01-23(C语言完整版) 第11讲:2015-01-26(C语言02_数据类型) 第12讲:2015-01-27(C语言03_数据类型_IF语句) 第13讲:2015-01-28(C语言04_IF语句逆向分析上) 第14讲:2015-01-28(C语言04_IF语句逆向分析下) 第15讲:2015-01-29(C语言04_正向基础) 第16讲:2015-01-30(C语言05_循环语句) 第17讲:2015-02-02(C语言06_参数_返回值_局部变量_数组反汇编) 第18讲:2015-02-02(2015-01-30课后练习) 第19讲:2015-02-03(C语言07_多维数组) 第20讲:2015-02-03(2015-02-02课后练习) 第21讲:2015-02-04(C语言08_结构体) 第22讲:2015-02-05(C语言09_字节对齐_结构体数组) 第23讲:2015-02-06(C语言10_Switch语句反汇编) 第24讲:2015-02-26(C语言11_指针1) 第25讲:2015-02-27(C语言11_指针2) 第26讲:2015-02-28(C语言11_指针3) 第27讲:2015-02-28(C语言11_指针4) 第28讲:2015-03-02(C语言11_指针5) 第29讲:2015-03-03(C语言11_指针6) 第30讲:2015-03-04(C语言11_指针7) 第31讲:2015-03-06(C语言11_指针8) 第32讲:2015-03-09(位运算) 第33讲:2015-03-10(内存分配_文件读写) 第34讲:2015-03-11(PE头解析_手动) 第35讲:2015-03-12(PE头字段说明) 第36讲:2015-03-13(PE节) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:2015-03-19(新增节添加代码) 第41讲:2015-03-20(扩大节-合并节-数据目录) 第42讲:2015-03-23(静态连接库-动态链接库) 第43讲:2015-03-24(导出) 第44讲:2015-03-25(重定位) 第45讲:2015-03-26(移动导出-重定位) 第46讲:2015-03-27(IAT) 第47讲:2015-03-27(导入) 第48讲:2015-03-30(绑定导入) 第49讲:2015-03-31(导入注入) 第50讲:2015-04-01(C++ this指针 类 上) 第51讲:2015-04-01(C++ this指针 类 下) 第52讲:2015-04-02(C++ 构造-析构函数 继承) 第53讲:2015-04-03(C++ 权限控制) 第54讲:2015-04-07(C++ 虚函数) 第55讲:2015-04-08(C++ 动态绑定-多态-上) 第56讲:2015-04-08(C++ 动态绑定-多态-下) 第57讲:2015-04-09(C++ 模版) 第58讲:2015-04-10(C++ 引用-友元-运算符重载) 第59讲:2015-04-13(C++ new-delete-Vector) 第60讲:2015-04-14(C++Vector实现) 第61讲:2015-04-15(C++链) 第62讲:2015-04-16(C++链实现) 第63讲:2015-04-16(C++二叉树) 第64讲:2015-04-17(C++二叉树实现) 第65讲:2015-04-20(Win32 宽字符) 第66讲:2015-04-21(Win32 事件-消息-消息处理函数) 第67讲:2015-04-22(Win32 ESP寻址-定位回调函数-条件断点) 第68讲:2015-04-23(Win32 子窗口-消息处理函数定位) 第69讲:2015-04-24(Win32 资源文件-消息断点) 第70讲:2015-04-27(Win32 提取图标-修改标题) 第71讲:2015-04-28(Win32 通用控件-VM_NOTIFY) 第72讲:2015-04-29(Win32 PE查看器-项目要求) 项目一:PE查看器 开发周期(5天) 需求文档 第73讲:2015-05-07(Win32 创建线程) 第74讲:2015-05-08(Win32 线程控制_CONTEXT) 第75讲:2015-05-11(Win32 临界区) 第76讲:2015-05-12(Win32 互斥体) 第77讲:2015-05-13(Win32 事件) 第78讲:2015-05-14(Win32 信号量) 第79讲:2015-05-15(Win32 线程同步与线程互斥) 第80讲:2015-05-18(Win32 进程创建_句柄) 第81讲:2015-05-20(Win32 以挂起形式创建进程) 第82讲:2015-05-21(Win32 加密壳_项目说明) 项目二:加密壳 开发周期(5天) 需求文档 第83讲:2015-05-28(Win32 枚举窗口_鼠标键盘事件) 第84讲:2015-05-29(Win32 CE练习) 第85讲:2015-06-01(Win32 OD练习) 第86讲:2015-06-03(Win32 ShellCode_远程线程注入) 第87讲:2015-06-04(Win32 加载EXE_模块隐藏) 第88讲:2015-06-09(Win32 IAT_HOOK) 第89讲:2015-06-10(Win32 InlineHook) 第90讲:2015-06-11(Win32 进程通信) 第91讲:2015-06-11(Win32 进程监控_项目说明) 项目三:进程监控 开发周期(5天) 需求文档 第92讲:2015-06-15(硬编码_01) 第93讲:2015-06-16(硬编码_02) 第94讲:2015-06-17(硬编码_03) 第95讲:2015-06-18(硬编码_04) 第96讲:2015-06-19(硬编码_05)
滴水逆向三期课件(全套)
03-25
滴水全套课件配合视频讲解,高效学习,下载就不亏!!
滴水三期视频及课件(海东版).txt
09-08
滴水三期完整视频和课件,就是海东老师录播的版本,本人全部学完感觉受益颇丰. 视频一共96节,每节课都包含对应的课件和习题
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期笔记和作业-PE总结1
最新发布
weixin_44449397的博客
01-18 1947
PE头手动解析,节,FileBuffer-ImageBuffer
滴水逆向三期15611 进程通信 项目练习
四位的博客
01-10 1805
进程通信联系概要步骤进程通信为什么要进程通信命名管道dll 无模块注入为什么必须是dllshellcode 注入模块注入shellcode 部分Extract代码 概要 最终效果 创建进程通信 通信测试 IATHOOK 剪切板内容 inlineHook 创建进程 文章分如下几部分 步骤 进程通信 dll注入 问题总结 本篇文章不是一个实现过程, 而是一个关于这个项目的一个总结, 包含了比较多外链, 帮助更好的理解. 步骤 实现进程通信 无模块注入dll hook 进程通信
滴水逆向三期实践17:导入注入
Rivival_S 的博客
11-10 2558
在动态链接库一章提到DllMain,这里再回顾一次 当dll被加载进4GB空间时,会调用一次DllMain(入口方法) 当程序执行完了要把dll从4GB空间被卸载,也会调用一次DllMain 注入的本质就是想方设法把自己的dll扔到别人进程的4GB空间里 而前面导入一章在最后提到,只有在PE文件内隐式调用(静态使用)时才会在调用者PE文件的导入内出现该 dll 的名字和相关函数,若为显示调用(动态使用),则这个被调用的dll名和相关函数不会在调用者导入内出现。 那么反过来也就是说,写
滴水逆向三期笔记与作业——02C语言——01基础函数汇编
weixin_43657383的博客
04-26 620
滴水逆向三期,第二篇幅,C语言第一节课。
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值