PE导出表分析

最新推荐文章于 2023-11-18 00:00:00 发布
最新推荐文章于 2023-11-18 00:00:00 发布
阅读量356 收藏 2
点赞数
分类专栏: 二进制安全 文章标签: c++ c语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/istream1/article/details/128209800
版权

1.导出表的定义

导出表大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。

2.准备工作

写一个DLL文件并简单调用一下。

1.主要代码

1.1 .C文件
DLLIMPORT int Add(int a,int b)
{
	return a+b;
}

DLLIMPORT int Sub(int a,int b)
{
	return a-b;
}
DLLIMPORT int Mul(int a,int b)
{
	return a*b;
}
DLLIMPORT int Div(int a,int b)
{
	return a/b;
}

DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。

1.2 .H文件
DLLIMPORT int Add(int a,int b);
DLLIMPORT int Sub(int a,int b);
DLLIMPORT int Mul(int a,int b);
DLLIMPORT int Div(int a,int b);
1.3 测试代码
#include<Windows.h>
#include<stdio.h>
#include<stdlib.h>
int main() 
{
	typedef int(* FUNT)(int,int);	//定义函数指针
	HINSTANCE Hint = LoadLibrary("test.dll");	调用先前写好的DLL
	
	if(Hint==NULL)
	{
	
	printf("DLL调用失败");	//测试
	return 0;
	}
	FUNT ADD =(FUNT)GetProcAddress(Hint,"Add");
	FUNT SUB =(FUNT)GetProcAddress(Hint,"Sub");
	FUNT MUL =(FUNT)GetProcAddress(Hint,"Mul");
	FUNT DIV =(FUNT)GetProcAddress(Hint,"Div");
	
	int a=20,b=10;
	
	printf("和为%d\n",ADD(a,b));
	printf("差为%d\n",SUB(a,b));
	printf("积为%d\n",MUL(a,b));
	printf("商为%d\n",DIV(a,b));
	
	FreeLibrary(Hint);	//释放
	return 0;
}
1.4 结果

测试结果

2.导出函数定义声明

> EXPORTS
    Add @1
    Div @2
    Mul @3
    Sub @4

3.导出表的位置

导出表位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出表,即DIRECTORY DataDirectory[0]。

typedef struct _IMAGE_DATA_DIRECTORY
{
DWORD VirtualAddress; //导出表开始的地址 注意是RVA的值
RVADWORD Size; //导出表大小
}
IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找出,如图:
在这里插入图片描述
选中区域就是数组里的内容,
前四个字节就是导出表的位置:0x00006000是RVA(内存偏移地址)的值,要转化成FOA(文件偏移地址)才能分析;

这里简单说一下,RVA转FOA的步骤:
1.判断RVA是否位于PE头中,如果在,那么RVA==FOA;
2.判断RVA的值在哪一个区段中,求出RVA与该区段开始地址的差值;
3.FOA=节.PointerToRawData(节区在文件中开始地址)+差值

我们来手动算一下,
在这里插入图片描述
1.节表开始的位置在0x00000178,则RVA不属于PE头
2.观察可知RVA介于.edata和.idata区段之间,
在这里插入图片描述

差值为:0x00006000-0x00006000=0x0
3.FOA=0x2000+0x0=0x2000

接着四个字节就是导出表的大小:0x00000069;

3.导出表的结构

现在我们找到了导出表的文件地址,贴上导出表的数据结构和对应的二进制代码:
在这里插入图片描述

typedef struct _IMAGE_EXPORT_DIRECTORY {
0x00
DWORD Characteristics; //用不到
0x04
DWORD TimeDateStamp; //时间戳. 编译的时间. 把秒转为时间.可以知道DLL的编译时间.此处和标准PE头的第二个成员一样
0x08
WORD MajorVersion;
0x0a
WORD MinorVersion;
0x0c
DWORD Name;           //指向该导出表文件名的字符串,也就是这个DLL的名称 存储的RVA 地址,需要转换
0x10
DWORD Base;           // 导出函数的起始序号
0x14
DWORD NumberOfFunctions; //所有的导出函数的个数
0x18
DWORD NumberOfNames; //以名字导出的函数的个数
0x1c
DWORD AddressOfFunctions; // 导出的函数地址的 地址表 RVA 即函数地址表
0x20
DWORD AddressOfNames; // 导出的函数名称表的 RVA 即函数名称表
0x24
DWORD AddressOfNameOrdinals; // 导出函数序号表的RVA 即函数序号表
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

直接从名字开始分析:导出表文件名所在的地址是:0x6050
差值:0x00006050-0x00006000=0x00000050;
FOA=0x00002000+0x00000050=0x00002050;
在这里插入图片描述
字符串以00结尾,可知该DLL的名字是test.dll;
导出函数的起始序号(01)稍后分析;
导出函数的个数在0x14位,为4个;
以名字导出的函数的个数在0x18位,为4个(说明DLL没有隐藏函数名字,转用序号调用);
导出函数有4个,所以导出函数的地址有4个,是连续的;

                           **函数地址表**
起始序号——>下标函数地址(FOA)函数名 (此表中函数名为二进制代码推出)
01——>01450(A50)Add
02——>11474(A74)Div
03——>21468 (A68)Mul
04——>3145D (A5D)Add
                        **函数名称表**
下标函数名地址(FOA)函数名
06059 (2059)Add
1605D (205D)Div
26061 (2061)Mul
36065 (2065)Add
                   **导出函数序号(2字节)表**
下标序号
000
101
202
303

下面举一个函数调用过程的例子:

FUNT ADD =(FUNT)GetProcAddress(Hint,"Add");

此语句是名称调用,先查询函数名称表,Add函数名对应的下标为0,接下来查询导出函数序号表下标为0的序号,对应的序号为00,再查询函数地址表下标为0,对应的函数地址为1450(A50):
在这里插入图片描述

55 89 E5 8B 55 08 8B 45 0C 01 D0 5D C3

利用OD分析一下代码:

89E5          mov ebp,esp
8B55 08       mov edx,dword ptr ss:[ebp+0x8]           ;  ipmsg.<ModuleEntryPoint>
8B45 0C       mov eax,dword ptr ss:[ebp+0xC]
01D0          add eax,edx                              ;  ntdll.KiFastSystemCallRet
5D            pop ebp                                  ;  kernel32.7C817077
C3            retn                                 ;

很容易分析出是加法操作即Add函数;
其他函数类似,至此,PE表分析结束。

总结:

PE导出表的分析难点主要在于后三个表,以及它们之间的关系,建议自己手动操作一遍,慢慢体会。

清奢
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE文件基础(不全还在补全) V1.0
dohxxx的博客
10-05 489
PE的基本概念 地址: PE中设计的地址有四类: 1.虚拟内存地址(VA): 用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA), 所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址 2,相对虚拟内存(...
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
2. **调试与分析**:逆向工程师在分析恶意软件或优化程序时,会深入研究PE导出以了解其行为。 3. **插件开发**:某些软件允许开发者通过扩展导出添加自定义功能,如游戏模组。 **学习PE导出的重要性:** 理解...
PE文件解析(3):导出的解析
ylh的博客
10-31 769
导出深度解析,如何找到他的准确位置,代码解析导出的寻址。
PE-导出
megaparsec
12-19 895
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用函数,但如果没有函数使用说明,开发者
PE文件-导出
weixin_45012273的博客
11-08 1404
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
PE导出C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 779
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
PE导出查看器-易语言
06-11
PE导出查看器-易语言》是针对PE(Portable Executable)文件格式中导出解析的一个高级教程源码。PE文件格式是Windows操作系统中用于执行程序的标准格式,而导出则是PE文件中一个重要的组成部分,主要用于...
VC 解析PE导出 导入
01-16
本篇文章将详细解析VC(Visual C++)如何处理PE文件导出和导入。 **导出**是PE文件中一个关键的组成部分,它包含了该文件对外提供的函数或资源的清单。当其他程序需要调用某个DLL中的函数时,会通过导出...
易语言导入导出PE源码
06-03
通过导入导出PE的源码,开发者可以实现如DLL注入、函数 hook、程序分析等高级功能。 4. **SanYe**:SanYe可能是这个资源的作者或开发者的字,也可能是一个特定的编程社区或者工具的标识。在易语言社区中,可能...
PE结构->【导出】工具包
06-22
PE文件中,导出是一个非常重要的组成部分,它定义了该文件可以提供给其他模块调用的函数或数据。本工具包专注于PE文件导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address ...
23. PE结构-PE详解之输出导出
墨痕诉清风的博客
03-05 3379
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
PE文件解析--导出
qq_31125257的博客
12-22 1375
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
PE结构学习(5)_导入导出
xf555er的博客
08-07 1006
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出里面任何PE文件还会调用哪些PE文件都会记录在导入里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入。...
PE文件之移动导出(自学笔记)
Sanshul的博客
12-22 298
PE文件之移动导出(自学笔记)
PE导出
只为改变自己
05-03 412
PE导出知识
逆向工程实验二 PE导出分析及应用
最新发布
zzzfff__的博客
11-18 788
分析PE文件导出结构,分析导出函数VA的获取过程,得出导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。
PE文件——导入&导出&函数覆盖
Woolemon的博客
04-06 6062
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
pe结构分析-解析导出(一)
freshfox的博客
09-29 332
导出函数地址查询规则: 1. 按照称查找: 先找到称, 然后对应同一索引的 AddressOfNameOrdinals 表中的记录 id , 那这个id 做索引查询AddressOfFunctions 即可。 2. 按照 序号 查找: 序号- base 做为 AddressOfFunctions 即可。 几点说明: 1. base 是序号开始的值。 2. ...
实验7 pe导出分析及应用
06-08
Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们可以通过使用工具如PEview、PE Explorer等对PE文件导出进行分析,了解其中包含的函数和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值