DLL那些事儿(二)

最新推荐文章于 2023-10-09 21:10:32 发布
最新推荐文章于 2023-10-09 21:10:32 发布
阅读量2k 收藏 3
点赞数 2
分类专栏: C++ 文章标签: dll windows cpp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicebluechai/article/details/113755960
版权

Hello.dll里面有什么

我们使用文本查看工具进行查看, 显然这些乱码我们完全无法阅读。

在这里插入图片描述

所有DLL文件的结构都如下图所示, 由这几部分组成。

在这里插入图片描述

DOS Stub和PE Signature

其中的DOS Stub和PE Signature我们可以从上图看到,This program cannot be run in DOS modePE。我们也可以使用十六进制查看工具进行查看。其中DOS Stub部分的位置是固定的,而PE Signature部分的地址在3C处指明了。
在这里插入图片描述
在这里插入图片描述

COFF file header

DOS Stub和PE 标识由于是ASCII形式存储在文件中的,所以我们可以通过文本查看工具或者16进制查看工具看到,但是剩下的部分使用文本查看工具看起来就很费劲了,好在微软为我们提供了查看二进制可执行文件的工具——dumpbin.exe。

使用dumpbin /HEADERS Hello.dll命令就可以将hello.dll的头部信息格式化成我们人类可读的形式并输出到屏幕上了。
在这里插入图片描述
我们可以看到FILE HEADER VALUES部分就是我们的COFF file header了,

这部分告诉我们这个文件是x64架构的机器上的DLL(8665 machine(x64));

由两部分组成(2 number of sections),

然后是一个时间戳,默认标明了这个DLL创建的时间(59BDE631 time date stamp Sat Sep 16 20:04:17 2017这个实际上可以是任意值,它不一定必须是时间戳,你可以在构建的时候指定它的值);

可选头的大小是0xF0(F0 size of optional header);

这个文件有2022个字符(2022 characteristics);

这个文件包含可执行代码(Excutable,并不能表明这是一个EXE可执行程序,只是说明这是一个能被加载并执行的DLL);

这是一个64位的二进制文件,所以可以处理更大(大于2GB)的地址,32-bit的二进制文件则同(Application can handle large (>2GB) addresses);

这是一个DLL而不是EXE(DLL

可选头文件(Option Header)

可选头文件有两种类型,PE32和PE32+,分别标识32位二进制文件和64位二进制文件。

在这里插入图片描述

我们可以看到magic 前边有一个数字(魔数),用来确保链接器正确的解析数据类型;

我们可以在此处看到入口点为空,这就是我们希望看到的,因为我们在链接时使用了/NOENTRY选项指定它没有入口点;

这个image的首选基地址是0X70000000到0X70002FFF,还有一些对齐信息

image的大小是0x3000 比特(12Kb),头部大小是0x400比特(1Kb),DLL特征字0x160比特

除此之外还有一些其他的扩展信息

还有一些有额外的关于DLL里面有什么的元数据的目录,可以看到这些目录里都有RVA(Relative Virtual Address)和size,

Relative Virtual Address(RVA,虚拟地址):

相对于DLL被加载到内存中的初始地址的偏移量

运行时真实的内存地址 = DLL的基地址 + RVA(Address in Memory = DLL Base Address + RVA)

如果想要计算对应的RVA只需要用下面公式即可

RVA = Address in Memory - DLL Base Address

例如:

  • 函数GetGreeting() 在Hello.dll 中的RVA=0x2000,
  • Hello.dll 加载到初始地址为0x7000’0000的内存中
    可以得出函数GetGreeting()在地址为0x7000‘2000处(0x7000’0000 + 0x2000 = 0x7000‘2000)

Section Header

紧跟着Option Header的是一个接一个的Section Header,Section Header告诉我们如何在DLL中找到实际的数据。

如图所示是Hello.dll中的第一个Section——.text Section(包含代码的代码段),并且它需要映射到内存中以供执行和读取,

我们可以看到虚拟地址为0x1000,这就是上面说的RVA,表明了这部分在DLL被加载时在内存中的位置。virtual size表示这部分占用内存的大小,可以看到我们这个程序代码只占8比特(bytes),除此之外还包含了一些其他信息。

在这里插入图片描述

第二个Section——.rdata Section(只读数据段, 可以通过标志位(flags 0x40000040)看出,这个section具有只读权限,不是可执行程序,也不可写),它也需要被映射进内存页中。

在这里插入图片描述

数据段还包含了一些其他数据,从上边的option header中我们可以看到Export Directory(0x2040)和Debug Directory(0x2020)的RVA是被包含在.rdata section中的(0x2000到0x20D7)

在这里插入图片描述

小结

从Hello.dll的头部信息中我们知道,当Hello.dll加载到进程中时,它将在内存中占用0x3000 bytes(3页)的空间。

  • 一页包含头部信息(headers)
  • 一页包含 代码段(.text section)
  • 一页包好只读数据段(.rdata section)

(这些不是唯一可能的 section,我们可以在其他DLL中找到其他 几种 section)

Hello.dll在一对目录(directories)中有一些额外的元数据

  • 一个调试目录(debug Directory)
  • 一个导出目录 (export directory)

这些数据包含在 .rdata section 中
在这里插入图片描述

查看 Sections的具体内容

我们可以使用dumpbin.exe 方便的查看各个Section的具体内容

Section #1: .text (代码段)

我们使用dumpbin /rawdata /section:.text Hello.dll命令可以看到代码段以16进制的形式显示到屏幕上,

使用dumpbin /disasm:BYTES /section:.text Hello.dll命令可以同事查看代码段的反汇编和16进制形式

在这里插入图片描述

Section #2: .rdata (只读数据段)

使用dumpbin /rawdata /sectiion:.rdata Hello.dll命令可以显示16进制形式的只读数据段。

可以看到我们程序中的字符串常量在只读数据段中。我们之前讨论过的两个Directory也在只读数据段中,如图所示,我们用不同的颜色高亮标记了它们。但这也是不可读的,我们完全看不懂这些Directory中到底是什么。

在这里插入图片描述

使用命令dumpbin /exports Hello.dll可以看到DLL的导出表(Export Directory)

在这里插入图片描述

诊断协议那些事儿——目录
诊断协议那些事儿's blog
11-11 1886
本专栏将以ISO14229为基础深入介绍诊断那些事儿,从故障定位到软件刷写……重点掌握各个服务的功能、报文格式,为后续功能开发打下基础!
MIDI音乐编程那些事儿
zhongzg的博客
04-19 8631
MIDI音乐编程那些事儿 文章目录MIDI音乐编程那些事儿前言一、Windows系统的 win32 API函数1、win32 API MIDI函数的获取2、MIDI函数的参数和返回值 前言 新冠疫情期间没事儿,玩起了音乐和电脑。因为正在利用老旧电子琴学弹 “我爱你中国” (简谱的眼睛),手上较为完整的曲谱却是五线谱,无奈!把它翻译成简谱。本来想通过电脑帮我把输入的五线谱转换成指定大调的简谱(转成不同调的简谱,这do re me 就不一样了,手工转换很烧脑的),这不需要MIDI的。可是,后来想让电脑在每转换
操作dosbox0.74时遇到的几个问题
写给自己看的博客
01-06 9113
下载好dosbox0.74之后,找到目录下DOSBox 0.74 Options.bat文件,打开拖到最后一行, 加上这样一段代码后。TASM是自己创建的一个文件夹。 MOUNT C F:\TASM C: 即如下: [autoexec] # Lines in this section will be run at startup. # You can put your MOUNT l
DLL的结构
crkres9527
07-28 4054
1. DLL与数据共享          DLL 可以拥有自己的数据段,但没有自己的堆栈,而是使用应用程序(EXE文件)的堆栈     1.1 DLL的结构         每个DLL文件都包含一个到处函数表,这些导出函数由他们的函数名或函数编号与外界联系起来,函数表中还包含了DLL中函数的地址。当程序加载DLL模块时,应用程序并不知道在DLL中调用函数的实际地址,只知道函数的名字或编号,
网络传输的魔法——深入解析DLL技术
m0_72410588的博客
08-26 984
动态链接库(DLL)是一种包含可由多个程序同时使用的代码和数据的文件,它具有许多用途和优点。DLL文件可以包含函数、类、变量以及其他资源,它们被设计成在程序运行时被动态加载和链接,以提供特定功能和服务。通过本文的介绍,我们对DLL技术有了更深入的了解。DLL作为网络通信和软件开发中的重要组成部分,发挥着关键的作用。它具有许多优点和应用场景,但也面临着一些挑战和安全风险。理解DLL的工作原理和应用技术,对于提升软件设计和开发的质量和效率具有重要意义。
DLL和PLL
最新发布
cy413026的博客
10-09 2889
在芯片设计中时钟网络的生成常用两个器件分别是DLL(Delay-locked loop)和PLL(Phase-locked loop)。这两个期间都能完成 分频,倍频和相位调整的功能。但PLL的分频和倍频范围大,成本高。DLL有一定的分频,倍频能力,主要是用来做时钟相位调整。
动态链接库文件DLL详解
weixin_34307464的博客
06-08 426
一、动态链接库的概念  动态链接库(Dynamic Link Library,缩写为DLL)是一个可以被其它应用程序共享的程序模块,其中封装了一些可以被共享的例程和资源。动态链接库文件的扩展名一般是dll,也有可能是drv、sys和fon,它和可执行文件(exe)非常类似,区别在于DLL中虽然包含了可执行代码却不能单独执行,而应由Windows应用程序直接或间接调用。  动态...
在Python,Win下加载DLL的那些事儿
qq_36374784的博客
07-17 1132
最近在学python下加载dll,过程中的一些问题,记录如下: 1、在win 使用vs 开发,编写生成了DLL和建立测试加载的情况; 具体建立的工程过程就不说了,说下遇到的问题吧 a、先生成WinDll_Python.DLL 注意这里有个情况,DLL需要根据情况配置是32位,换是64位的。我分别作了测试 *当DLL是32位时,不管test测试程序是32、64都可以正常加载; 但是,当DLL是64时,不管test测试程序是32、64都不正常加载,通过GetLastEr...
游走于内网之后——工控安全那些事儿.pdf
08-08
工控安全的防护措施迫在眉睫,因为攻击工控系统的方法多样,攻击途径包括对SCADA系统Web访问入口的攻击、dll劫持、ajax攻击以及对PLC的攻击。攻击者可能会利用SCADA系统中Web服务器的目录遍历漏洞,或者通过特定的...
FindProcDLL.dll
01-11
FindProcDLL.dll及其源码,欢迎下载。 1. Introduction This plugin provides the ability to check if any process running just with the name of its .exe file. FindProc "process_name.exe" The return ...
C++考前复习资料
07-01
不错的考前突击的一些题目,对于考前一星期的人有很大的帮助,里面的题目是很有益的
PE结构图,理清exe dll结构.zip
08-20
从网上收集的,希望对大家有帮助
爱普生 R270清零程序 确定能用
03-01
爱普生R270清零软件,一直再用的。 一 把C盘根目录下的Adjustment Program文件夹删除。  打开注册表regedit找到HKEY_LOCAL_MACHINE\SOFTWARE\EPSON\PTSG把它下面的东西删除(其实这个下面应该全是记录的清零软件的使用情况) 三 把系统日期改到2007年1月8号。 四 最后是运行清零程序
第八届山东省网络安全技能大赛wp
qq_41252520的博客
09-25 2456
目录 Reverse 0x0 EasyApk 直接JEB加载: 主窗口代码如下 Encode类代码: 其实就是魔改的base64加密。其中函数base_1是将输入的字符串转成进制流,函数base就是base64加密算法。首先判断数据是否为24的倍数,不是就在末尾补0,正好符合base加密的特征之一。然后将数据6个位划分为一组,循环查表,符合base加密的特征之。然后就是字符替换...
C++DLL编程详解
教兽之家
06-05 2万+
DLL(Dynamic Link Library)的概念,你可以简单的把DLL看成一种仓库,它提供给你一些可以直接拿来用的变量、函数或类。在仓库的发展史上经历了“无库-静态链接库-动态链接库”的时代。 静态链接库与动态链接库都是共享代码的方式,如果采用静态链接库,则无论你愿不愿意,lib中的指令都被直接包含在最终生成的EXE文件中了。但是若使用DLL,该DLL不必被包含在最终EXE文件中,E
PE结构详解
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
RunDos
haiou327’blog
02-05 833
procedure RunDosInMemo(const DosApp: string; AMemo: TMemo); const {设置ReadBuffer的大小} ReadBuffer = 2400; var Security: TSecurityAttributes; ReadPipe, WritePipe: THandle; start: TStartUpInfo; ProcessInfo: TProcessInformation; Buffer: PC
《逆向工程核心原理》读书笔记——第13章 PE文件格式
Onlyone_1314的博客
09-29 2318
第13章 PE文件格式13.1 介绍13.2、PE文件格式13.2.1基本结构13.2.2 VA&RVA13.3 PE头13.3.1 DOS头13.3.2 DOS存根13.3.3 NT头13.3.4 NT头中的文件头1.Machine2.NumberOfSections3.SizeOfOptionalHeader4.Characteristics13.3.5 NT头中的可选头1.Magic2.AddressOfEntryPoint3.ImageBase4.SectionAlignment, File
PE文件结构详解(一)基本概念
热门推荐
evil.eagle的专栏
09-14 6万+
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
NXUG次开发DLL批量签名解决方案
特别是对于那些涉及到企业级应用的软件,如正版的NX软件,其次开发的dll文件如果未经官方签名认证,往往无法在正版环境中正常运行。这不仅限制了开发者的次开发,也影响了正版用户的使用体验。为了解决这个问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值