PE导出表操作

最新推荐文章于 2021-09-29 09:59:24 发布
最新推荐文章于 2021-09-29 09:59:24 发布
阅读量1.4k 收藏
点赞数
分类专栏: C++ 文章标签: 指针 C++ 导出表 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l0g1n/article/details/18984437
版权

代码很简单,只是需要对PE文件头的理解,在这段代码中,我遇到的问题是结构体指针的问题,目前已经理解,具体请看代码中注释。

BOOL EnumEATTable(PVOID pModuleBase)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_EXPORT_DIRECTORY pExportTable = NULL;
	ULONG_PTR *arrayOfFunctionAddress = NULL;
	ULONG_PTR *arrayOfFunctionName = NULL;
	WORD *arrayOfFunctionOrdinals = NULL;
	char *functionName = NULL;
	ULONG_PTR functionOrdinal, functionAddress;

	pDosHeader = (PIMAGE_DOS_HEADER)pModuleBase;
	if(pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
	{
		printf("Dos Header Error.\r\n");
		return FALSE;
	}
	//下面的操作会使pDosHeader->e_lfanew的值乘以64,再进行相加,
	//由于pDosHeader为指针类型,因此在进行相加时,会乘以结构体的大小
	//pNtHeader = (PIMAGE_NT_HEADERS)(pDosHeader + pDosHeader->e_lfanew);
	//这种方式是将指针直接转为ULONG类型,排除指针的影响,进行地址计算。
	pNtHeader = (PIMAGE_NT_HEADERS)((ULONG)pDosHeader + pDosHeader->e_lfanew);
	//这种方式是将结构体的指针,转为字节指针,由于字节指针长度为1,乘以字节指针长度也无影响。
	pNtHeader = (PIMAGE_NT_HEADERS)((BYTE *)pDosHeader + pDosHeader->e_lfanew);
	if(pNtHeader->Signature != IMAGE_NT_SIGNATURE)
	{
		printf("PE Header Error.\r\n");
		return FALSE;
	}
	pExportTable = (PIMAGE_EXPORT_DIRECTORY)((ULONG)pModuleBase + pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
	arrayOfFunctionAddress = (ULONG_PTR *)((ULONG)pModuleBase + pExportTable->AddressOfFunctions);
	arrayOfFunctionName = (ULONG_PTR *)((ULONG)pModuleBase + pExportTable->AddressOfNames);
	arrayOfFunctionOrdinals = (WORD *)((ULONG)pModuleBase + pExportTable->AddressOfNameOrdinals);

	for(int i = 0; i < pExportTable->NumberOfFunctions; i++)
	{
		functionName = (char *)((ULONG)pModuleBase + arrayOfFunctionName[i]);
		functionOrdinal = arrayOfFunctionOrdinals[i] + pExportTable->Base - 1;
		functionAddress = (ULONG_PTR)((ULONG)pModuleBase + arrayOfFunctionAddress[functionOrdinal]);

		printf("%s:0x%0X\r\n", functionName, functionAddress);
	}
}


l0g1n
关注
专栏目录
[源码和文档分享]根据PE文件格式从导出中获取指定导出函数的地址
qq_38474647的博客
12-30 177
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入以及导出的工作原理,又是重中之重。理解了 PE 格式的导入,就可以修改 PE 格式进行 DLL 注入,也可以修改导入实现 API HOOK 等。理解了 PE 格式的导出,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数的名...
《初识PE导出
weixin_34212762的博客
11-21 141
转自:http://www.blogfshare.com/pe-export.html (二).导出PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。 Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟地址空间,这样的话在各个程序自己看来,自己就拥有几...
PE解析导出--代码
跃然实验室
06-10 482
//导出信息 typedef struct _EXPORT_INFO { char cDllName[256]; //用于保存DLL库名 pFuncInfo pFunctionInfo; //指向FUNC_INFO结构体数组,用于保存若干个函数信息 long lFuncNum...
PE文件】导出
bailing1370的博客
07-23 193
1、数据目录第一个成员指向导出IMAGE_DATA_DIRECTORY[1] -> IMAGE_DIRECTORY_ENTRY_EXPORT。 1 struct _IMAGE_EXPORT_DIRECTORY 2 { 3 0x00 DWORD Characteristics; 4 0x04 DWORD TimeDateStamp; 5...
PE结构导出详细解析
huobengle
01-27 534
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
最新发布
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构。 PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
PE导出查看器-易语言
06-11
PE导出查看器-易语言》是针对PE(Portable Executable)文件格式中导出解析的一个高级教程源码。PE文件格式是Windows操作系统中用于执行程序的标准格式,而导出则是PE文件中一个重要的组成部分,主要用于...
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件的导出进行增、删、改的操作,现在它还可以用于给没有导出的文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
PE获取导出 导入 资源 重定位
11-30
DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,...
VC 解析PE导出 导入
01-16
本篇文章将详细解析VC(Visual C++)如何处理PE文件的导出和导入。 **导出**是PE文件中一个关键的组成部分,它包含了该文件对外提供的函数或资源的清单。当其他程序需要调用某个DLL中的函数时,会通过导出...
获取PE文件的导出函数列
06-19
获取PE文件的导出函数列,提供代码。PE文件是windows的下的文件格式
pe结构分析-解析导出(一)
freshfox的博客
09-29 346
导出函数地址查询规则: 1. 按照名称查找: 先找到名称, 然后对应同一索引的 AddressOfNameOrdinals 中的记录 id , 那这个id 做索引查询AddressOfFunctions 即可。 2. 按照 序号 查找: 序号- base 做为 AddressOfFunctions 即可。 几点说明: 1. base 是序号开始的值。 2. ...
滴水逆向三期实践5:新增节
Rivival_S 的博客
09-29 1170
如图,是新增节的大致思路,标红的位置为我们新增的部分,如果在已存在的节后存在可以继续插入节的空间,那么就多加一个节。有了节就要有对应的节,于是需要在文件末尾添加新的节存放代码或数据。 上述思路具体为: 1、判断是否有足够的空间,可以添加一个节. 判断条件: SizeOfHeader - (DOS + dos stub+ PE标记 + 标准PE头 + 可选PE头 + 已存在节) >= 2个节的大小 为什么要两个节的大小,因为除了根据SizeOfHeader判断头大小外..
深入解析PE文件结构之导出获取
热门推荐
yiyefangzhou24的专栏
02-17 1万+
新学期新气象,一般是小学作文的开头,在此引用一下。 最近有时间坐下来仔细研究一下PE文件结构了,以前遇到这种问题时总是拆东墙补西墙。学的不够透彻。几天来一番研究之后,和大家分享一下。 PE的文件结构从DOS头开始,其主要作用就两个一个是若是在DOS环境下输出一句话。另一个作用就是找到PE文件头的位置,这是我们要关心的,本文只注重所要关心的问题——导出。和一些你再众多网上资料上很难找到的细节,
C++源码】PE文件结构中导出的解析
ProgrammingLearner的博客
08-31 3516
C++源码】PE文件结构中导出的解析 控制台版本
PE格式解析-导出分析
走在成长的路上
12-25 1607
关于于PE文件中导出的格式解析
PE文件学习笔记(三):导出(Export Table)解析
Apollon_krj的博客
08-17 6401
数据目录(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十六个元素分别存储了不同信息,分别是:导入导出、资源、异常信息、安全证书、重定位、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的有:导出、导入、重定位、IA
PE文件解析器的编写(二)——PE文件头的解析
Masimaro的专栏
05-04 3390
之前在学习PE文件格式的时候,是通过自己查看各个结构,自己一步步计算各个成员在结构中的偏移,然后在计算出其在文件中的偏移,从而找到各个结构的值,但是在使用C语言编写这个工具的时候,就比这个方便的多,只要将对应的指针类型转化为各个结构类型,就可以使用指针中的箭头来直接寻址到结构中的各个成员。 这次主要说明的是PE文件头的解析,也就是之前看到的第一个界面中显示的内容
PE文件与输入免杀技术详解
- 数据目录:包含指向PE文件不同部分的指针,如导入导出、资源等。 - 节头:定义文件的各个区域,每个节可能包含代码、数据或其他特定信息。 - 节:实际的数据存储区域,每个节都有自己的名称和属性。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值