DLL那些事儿(二)

最新推荐文章于 2023-10-09 21:10:32 发布
最新推荐文章于 2023-10-09 21:10:32 发布
阅读量1.4k 收藏 3
点赞数 2
分类专栏: C++ 文章标签: dll windows cpp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicebluechai/article/details/113755960
版权

Hello.dll里面有什么

我们使用文本查看工具进行查看, 显然这些乱码我们完全无法阅读。

在这里插入图片描述

所有DLL文件的结构都如下图所示, 由这几部分组成。

在这里插入图片描述

DOS Stub和PE Signature

其中的DOS Stub和PE Signature我们可以从上图看到,This program cannot be run in DOS modePE。我们也可以使用十六进制查看工具进行查看。其中DOS Stub部分的位置是固定的,而PE Signature部分的地址在3C处指明了。
在这里插入图片描述
在这里插入图片描述

COFF file header

DOS Stub和PE 标识由于是ASCII形式存储在文件中的,所以我们可以通过文本查看工具或者16进制查看工具看到,但是剩下的部分使用文本查看工具看起来就很费劲了,好在微软为我们提供了查看二进制可执行文件的工具——dumpbin.exe。

使用dumpbin /HEADERS Hello.dll命令就可以将hello.dll的头部信息格式化成我们人类可读的形式并输出到屏幕上了。
在这里插入图片描述
我们可以看到FILE HEADER VALUES部分就是我们的COFF file header了,

这部分告诉我们这个文件是x64架构的机器上的DLL(8665 machine(x64));

由两部分组成(2 number of sections),

然后是一个时间戳,默认标明了这个DLL创建的时间(59BDE631 time date stamp Sat Sep 16 20:04:17 2017这个实际上可以是任意值,它不一定必须是时间戳,你可以在构建的时候指定它的值);

可选头的大小是0xF0(F0 size of optional header);

这个文件有2022个字符(2022 characteristics);

这个文件包含可执行代码(Excutable,并不能表明这是一个EXE可执行程序,只是说明这是一个能被加载并执行的DLL);

这是一个64位的二进制文件,所以可以处理更大(大于2GB)的地址,32-bit的二进制文件则同(Application can handle large (>2GB) addresses);

这是一个DLL而不是EXE(DLL

可选头文件(Option Header)

可选头文件有两种类型,PE32和PE32+,分别标识32位二进制文件和64位二进制文件。

在这里插入图片描述

我们可以看到magic 前边有一个数字(魔数),用来确保链接器正确的解析数据类型;

我们可以在此处看到入口点为空,这就是我们希望看到的,因为我们在链接时使用了/NOENTRY选项指定它没有入口点;

这个image的首选基地址是0X70000000到0X70002FFF,还有一些对齐信息

image的大小是0x3000 比特(12Kb),头部大小是0x400比特(1Kb),DLL特征字0x160比特

除此之外还有一些其他的扩展信息

还有一些有额外的关于DLL里面有什么的元数据的目录,可以看到这些目录里都有RVA(Relative Virtual Address)和size,

Relative Virtual Address(RVA,虚拟地址):

相对于DLL被加载到内存中的初始地址的偏移量

运行时真实的内存地址 = DLL的基地址 + RVA(Address in Memory = DLL Base Address + RVA)

如果想要计算对应的RVA只需要用下面公式即可

RVA = Address in Memory - DLL Base Address

例如:

  • 函数GetGreeting() 在Hello.dll 中的RVA=0x2000,
  • Hello.dll 加载到初始地址为0x7000’0000的内存中
    可以得出函数GetGreeting()在地址为0x7000‘2000处(0x7000’0000 + 0x2000 = 0x7000‘2000)

Section Header

紧跟着Option Header的是一个接一个的Section Header,Section Header告诉我们如何在DLL中找到实际的数据。

如图所示是Hello.dll中的第一个Section——.text Section(包含代码的代码段),并且它需要映射到内存中以供执行和读取,

我们可以看到虚拟地址为0x1000,这就是上面说的RVA,表明了这部分在DLL被加载时在内存中的位置。virtual size表示这部分占用内存的大小,可以看到我们这个程序代码只占8比特(bytes),除此之外还包含了一些其他信息。

在这里插入图片描述

第二个Section——.rdata Section(只读数据段, 可以通过标志位(flags 0x40000040)看出,这个section具有只读权限,不是可执行程序,也不可写),它也需要被映射进内存页中。

在这里插入图片描述

数据段还包含了一些其他数据,从上边的option header中我们可以看到Export Directory(0x2040)和Debug Directory(0x2020)的RVA是被包含在.rdata section中的(0x2000到0x20D7)

在这里插入图片描述

小结

从Hello.dll的头部信息中我们知道,当Hello.dll加载到进程中时,它将在内存中占用0x3000 bytes(3页)的空间。

  • 一页包含头部信息(headers)
  • 一页包含 代码段(.text section)
  • 一页包好只读数据段(.rdata section)

(这些不是唯一可能的 section,我们可以在其他DLL中找到其他 几种 section)

Hello.dll在一对目录(directories)中有一些额外的元数据

  • 一个调试目录(debug Directory)
  • 一个导出目录 (export directory)

这些数据包含在 .rdata section 中
在这里插入图片描述

查看 Sections的具体内容

我们可以使用dumpbin.exe 方便的查看各个Section的具体内容

Section #1: .text (代码段)

我们使用dumpbin /rawdata /section:.text Hello.dll命令可以看到代码段以16进制的形式显示到屏幕上,

使用dumpbin /disasm:BYTES /section:.text Hello.dll命令可以同事查看代码段的反汇编和16进制形式

在这里插入图片描述

Section #2: .rdata (只读数据段)

使用dumpbin /rawdata /sectiion:.rdata Hello.dll命令可以显示16进制形式的只读数据段。

可以看到我们程序中的字符串常量在只读数据段中。我们之前讨论过的两个Directory也在只读数据段中,如图所示,我们用不同的颜色高亮标记了它们。但这也是不可读的,我们完全看不懂这些Directory中到底是什么。

在这里插入图片描述

使用命令dumpbin /exports Hello.dll可以看到DLL的导出表(Export Directory)

在这里插入图片描述

NiceBlueChai
关注
专栏目录
诊断协议那些事儿——目录
诊断协议那些事儿's blog
11-11 1642
本专栏将以ISO14229为基础深入介绍诊断那些事儿,从故障定位到软件刷写……重点掌握各个服务的功能、报文格式,为后续功能开发打下基础!
厉害!免杀任意EXE
南迪叶先森
07-06 3050
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! PE文件 PE文件简述 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL),这篇文章主要讲对EXE文件进行内存加载并运行的方法,代码实现,和完成一个GUI加载器工具的全过程。 文件结构 由上图可以 Dos Header 是用来兼容MS-DOS操作系统的,目的是当.
DLL的结构
crkres9527
07-28 3780
1. DLL与数据共享          DLL 可以拥有自己的数据段,但没有自己的堆栈,而是使用应用程序(EXE文件)的堆栈     1.1 DLL的结构         每个DLL文件都包含一个到处函数表,这些导出函数由他们的函数名或函数编号与外界联系起来,函数表中还包含了DLL中函数的地址。当程序加载DLL模块时,应用程序并不知道在DLL中调用函数的实际地址,只知道函数的名字或编号,
操作dosbox0.74时遇到的几个问题
写给自己看的博客
01-06 8807
下载好dosbox0.74之后,找到目录下DOSBox 0.74 Options.bat文件,打开拖到最后一行, 加上这样一段代码后。TASM是自己创建的一个文件夹。 MOUNT C F:\TASM C: 即如下: [autoexec] # Lines in this section will be run at startup. # You can put your MOUNT l
网络传输的魔法——深入解析DLL技术
m0_72410588的博客
08-26 677
动态链接库(DLL)是一种包含可由多个程序同时使用的代码和数据的文件,它具有许多用途和优点。DLL文件可以包含函数、类、变量以及其他资源,它们被设计成在程序运行时被动态加载和链接,以提供特定功能和服务。通过本文的介绍,我们对DLL技术有了更深入的了解。DLL作为网络通信和软件开发中的重要组成部分,发挥着关键的作用。它具有许多优点和应用场景,但也面临着一些挑战和安全风险。理解DLL的工作原理和应用技术,对于提升软件设计和开发的质量和效率具有重要意义。
DLL和PLL
最新发布
cy413026的博客
10-09 1969
在芯片设计中时钟网络的生成常用两个器件分别是DLL(Delay-locked loop)和PLL(Phase-locked loop)。这两个期间都能完成 分频,倍频和相位调整的功能。但PLL的分频和倍频范围大,成本高。DLL有一定的分频,倍频能力,主要是用来做时钟相位调整。
动态链接库文件DLL详解
weixin_34307464的博客
06-08 356
一、动态链接库的概念  动态链接库(Dynamic Link Library,缩写为DLL)是一个可以被其它应用程序共享的程序模块,其中封装了一些可以被共享的例程和资源。动态链接库文件的扩展名一般是dll,也有可能是drv、sys和fon,它和可执行文件(exe)非常类似,区别在于DLL中虽然包含了可执行代码却不能单独执行,而应由Windows应用程序直接或间接调用。  动态...
第八届山东省网络安全技能大赛wp
qq_41252520的博客
09-25 2307
目录 Reverse 0x0 EasyApk 直接JEB加载: 主窗口代码如下 Encode类代码: 其实就是魔改的base64加密。其中函数base_1是将输入的字符串转成进制流,函数base就是base64加密算法。首先判断数据是否为24的倍数,不是就在末尾补0,正好符合base加密的特征之一。然后将数据6个位划分为一组,循环查表,符合base加密的特征之。然后就是字符替换...
在Python,Win下加载DLL的那些事儿
qq_36374784的博客
07-17 1055
最近在学python下加载dll,过程中的一些问题,记录如下: 1、在win 使用vs 开发,编写生成了DLL和建立测试加载的情况; 具体建立的工程过程就不说了,说下遇到的问题吧 a、先生成WinDll_Python.DLL 注意这里有个情况,DLL需要根据情况配置是32位,换是64位的。我分别作了测试 *当DLL是32位时,不管test测试程序是32、64都可以正常加载; 但是,当DLL是64时,不管test测试程序是32、64都不正常加载,通过GetLastEr...
游走于内网之后——工控安全那些事儿.pdf
08-08
工控安全的防护措施迫在眉睫,因为攻击工控系统的方法多样,攻击途径包括对SCADA系统Web访问入口的攻击、dll劫持、ajax攻击以及对PLC的攻击。攻击者可能会利用SCADA系统中Web服务器的目录遍历漏洞,或者通过特定的...
C++考前复习资料
07-01
不错的考前突击的一些题目,对于考前一星期的人有很大的帮助,里面的题目是很有益的
PE结构图,理清exe dll结构.zip
08-20
从网上收集的,希望对大家有帮助
爱普生 R270清零程序 确定能用
03-01
爱普生R270清零软件,一直再用的。 一 把C盘根目录下的Adjustment Program文件夹删除。  打开注册表regedit找到HKEY_LOCAL_MACHINE\SOFTWARE\EPSON\PTSG把它下面的东西删除(其实这个下面应该全是记录的清零软件的使用情况) 三 把系统日期改到2007年1月8号。 四 最后是运行清零程序
FindProcDLL.dll
01-11
FindProcDLL.dll及其源码,欢迎下载。 1. Introduction This plugin provides the ability to check if any process running just with the name of its .exe file. FindProc "process_name.exe" The return ...
MIDI音乐编程那些事儿
zhongzg的博客
04-19 8100
MIDI音乐编程那些事儿 文章目录MIDI音乐编程那些事儿前言一、Windows系统的 win32 API函数1、win32 API MIDI函数的获取2、MIDI函数的参数和返回值 前言 新冠疫情期间没事儿,玩起了音乐和电脑。因为正在利用老旧电子琴学弹 “我爱你中国” (简谱的眼睛),手上较为完整的曲谱却是五线谱,无奈!把它翻译成简谱。本来想通过电脑帮我把输入的五线谱转换成指定大调的简谱(转成不同调的简谱,这do re me 就不一样了,手工转换很烧脑的),这不需要MIDI的。可是,后来想让电脑在每转换
用16进制编辑器编写一个DLL文件
曾健生的专栏
03-15 6136
【文章标题】: 用16进制编辑器编写一个DLL文件【文章作者】: newjueqi  【作者邮箱】: zengjiansheng1@126.com【作者QQ号】:190678908【软件名称】: Hello  【软件大小】:4K【编写语言】: 机器码【使用工具】: WinHex【操作平台】: xpSp2【作者声明】: 手写DLL一方面为了体会一下最早期程序员一个进制一个进制地写程序的感觉,另一
lib和dll文件的区别和联系
weixin_41985687的博客
07-27 1823
lib文件与dll文件区别
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
RunDos
haiou327’blog
02-05 808
procedure RunDosInMemo(const DosApp: string; AMemo: TMemo); const {设置ReadBuffer的大小} ReadBuffer = 2400; var Security: TSecurityAttributes; ReadPipe, WritePipe: THandle; start: TStartUpInfo; ProcessInfo: TProcessInformation; Buffer: PC
通达信 dll次开发
06-25
### 回答1: 通达信 dll次开发主要是指在通达信软件的基础上,通过使用动态链接库(dll)进行次开发来实现自定义的扩展功能。通达信软件本身已经提供了许多股票交易相关的功能,但是很多用户可能还需要其他定制化的功能或者数据接口,这时候就可以通过dll次开发来实现。 通达信 dll次开发的主要过程包括编写C++代码、动态链接库编译、调用dll等。在编写C++代码时,开发人员需要根据需求来编写相关的功能实现代码,并将其封装成dll文件。编写完成后,需要进行编译并生成所需的动态链接库文件。最后,在使用通达信软件时,可以通过调用dll来实现自定义的功能或者数据接口。 通达信 dll次开发主要的应用范围包括行情数据接口、交易接口、指标计算等方面。通过使用dll,可以让通达信软件获得更加灵活的扩展性和定制性,以满足用户的个性化需求。同时,这种方式也提高了开发效率和代码重用性。 总之,通达信 dll次开发是一种非常有用的扩展方案,可以为用户提供更加完善和满足个性化需求的股票交易软件。 ### 回答2: 通达信是国内最受欢迎的股票分析软件之一,拥有众多的用户和开发者。其中,通达信 dll次开发是一种非常重要的开发方向,它可以为用户带来更多的功能和灵活性。 通达信 dll次开发需要掌握一些专业的技术,如C++、MFC、Win32、COM等。在使用这些技术进行开发之前,需要先了解通达信软件的架构和原理,包括主程序、数据文件和策略文件等。这样才能更好地对其进行次开发,实现用户想要的功能。 在通达信 dll次开发中,最常见的需求是添加自定义指标、自定义公式和自定义函数等,以及实现外部交互功能。开发者可以利用通达信提供的DLL接口来实现这些功能,从而满足用户的需求。 除此之外,通达信 dll次开发还可以扩展通达信软件的功能和性能,例如加速大量数据的处理、绘制更复杂的图表和图形、增强交易功能、优化策略执行等。 总之,通达信 dll次开发是一个非常重要的开发方向,它可以增强通达信软件的功能和灵活性,为用户和开发者带来更多的价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值