PE文件(2)导出表

最新推荐文章于 2024-07-10 17:42:39 发布
最新推荐文章于 2024-07-10 17:42:39 发布
阅读量402 收藏 1
点赞数
分类专栏: 安全程序猿的自我修养 文章标签: PE 导出表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nyzdmc/article/details/79420225
版权

PE文件(2)导出表

导出表概念

导出表就是记载着动态链接库的一些导出信息。
通过导出表,DLL 文件可以向系统提供导出函数的名称、序号和入口地址等信息,Windows 加载器通过这些信息来完成动态连接的整个过程。

扩展名为.exe 的PE 文件中一般不存在导出表,而大部分的.dll 文件中都包含导出表。但这并不是绝对的。例如纯粹用作资源的.dll 文件就不需要导出函数啦,另外有些特殊功能的.exe 文件也会存在导出函数
当PE文件被加载为模块的时候,Windows加载器会将导入表中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT表进行修正。
   Windows 在加载一个进程后就会在内存中为该进程开辟一个单独的4G虚拟地址空间(x86下)。有一些函数很多程序都会用到,为每一个程序所调用的相同的函数都占用一次内存空间显得很浪费,因此Windows提出了了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数映射到自己的地址空间中,从而提高了内存的利用率。

定位导出表

导出表的定位总体上和导入表相似:

1.导出表的模块基地址的计算,与导入表相似,都是从PEB结构中得到的ImageBaseAddress成员。
与导入表不同的是,导入表是在exe模块中,而导出表是在dll模块中。

2.获得导出表的偏移是通过在NT头的扩展头的数据目录表的第IMAGE_DIRECTORY_ENTRY_EXPORT(1)项成员的VirtualAddress成员中。

只要将导入表中的IMAGE_NUMBEROF_ENTRY_IMPORT换为IMAGE_DIRECTORY_ENTRY_EXPORT就可以了。

    DWORD  v1 = 0;
    v1 = ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;

3.最后得到导出表的基地址:(ModuleBase + v1)

导出表结构

这里写图片描述

导出表的结构主要是两张表:函数名称地址表,入口地址表

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;        //未使用,总是定义为0
    DWORD   TimeDateStamp;          //文件生成时间
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;      //模块的真实名称RVA
    DWORD   Base;     //导出函数序号的起始值,将AddressOfFunctions 字段指向的入口地址表的索引号加上这个起始值就是对应函数的导出序号。假如Base 字段的值为x,那么入口地址表指定的第1个导出函数的序号就是x+0;第2个导出函数的序号就是x+1。总之,一个导出函数的导出序号等于Base 字段的值加上其在入口地址表中的位置索引值。
    DWORD   NumberOfFunctions;     //导出函数的个数
    DWORD   NumberOfNames;    //名称方式导出的函数的总数。有的导出函数是没有名字的,只有序号
    DWORD   AddressOfFunctions;     //一个RVA 值,指向包含全部导出函数入口地址的双字数组(EAT)。数组中的每一项是一个RVA 值(函数入口地址),数组的项数等于NumberOfFunctions 字段的值。
    DWORD   AddressOfNames;         //一个RVA 值,指向函数名的字符串地址表。这个地址表是一个双字数组,数组中的每一项指向一个函数名称字符串的RVA。数组的项数等NumberOfNames 字段的值,所有有名称的导出函数的名称字符串都定义在这个表中。
    DWORD   AddressOfNameOrdinals;  //一个RVA 值,指向另一个word 类型的数组(注意不是双字数组)。数组项目与文件名地址表中的项目一一对应,项目值代表函数入口地址表的索引,这样函数名称与函数入口地址关联起来,起到一个桥梁的作用。
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY

导出表遍历

导出表遍历的两种方法:
(1)通过函数序号得到函数地址:   
    1>由DOS头定位到PE头。
    2>由PE头定位到PE头中的中的 可选头IMAGE_OPTIONAL_HEADER32 结构中取出数据目录表,并从第一个数据目录中得到导出表的RVA。
    3>从导出表的 Base 字段得到起始序号。
    4>将需要查找的导出序号减去起始序号,得到函数在入口地址表中的索引。
    5>检测索引值是否大于导出表的 NumberOfFunctions 字段的值,如果大于后者的话,说明输入的序号是无效的。
    6>用这个索引值在 AddressOfFunctions 字段指向的导出函数入口地址表中取出相应的项目,这就是函数入口地址的RVA 值,当函数被装入内存的时候,这个RVA 值加上模块实际装入的基地址,就得到函数真正的入口地址。
 
(2)通过函数名称得到函数地址:
    1>由DOS头定位到PE头。(同上)
    2>由PE头定位到PE头中的中的 可选头IMAGE_OPTIONAL_HEADER32 结构中取出数据目录表,并从第一个数据目录中得到导出表的RVA。(同上)   
    3>从导出表的NumberOfNames 字段得到已命名函数的总数,并以这个数字作为循环的次数来构造一个循环。
    4>从AddressOfNames 字段指向得到的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名相比较,如果没有任何一个函数名是符合的,表示文件中没有指定名称的函数。
    5>如果某一项定义的函数名与要查找的函数名符合,那么记下这个函数名在字符串地址表中的索引值,然后在AddressOfNamesOrdinals 指向的数组中以同样的索引值取出数组项的值,我们这里假设这个值是x。
    6>以 x 值作为索引值,在 AddressOfFunctions 字段指向的函数入口地址表中获取的 RVA 加上模块基地址就是函数的入口地址。

MailSloter
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIN32汇编语言程序设计——查看PE文件导出
evagenius的博客
03-24 497
PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。在这些包含导出函数的DLL文件中,导出信息被保存在导出中,通过导出,DLL文件向系统提供导出函数的名称、序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。(1) 子程序参数1:已经读取到内存中的文件头的地址。2. 获取数据块的文件偏移地址。
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
4. **序号**(可选):对于某些旧版本的PE文件导出可能包含一个序号,用于记录导出函数的顺序,这在现代PE文件中不常用。 5. **导出序号索引**(可选):当导出使用序号而不是名称时,此提供了一个从...
PE文件结构详解(三)PE导出
Azure_Sky_2014
02-02 836
转自:http://blog.csdn.net/evileagle/article/details/12176797 上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数获取,函数原型如下:
PE文件(九)导出
最新发布
2301_78838647的博客
07-10 1027
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称RVA我们在硬盘数据找该地址时要先转成FOA,这个地址指向的记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称RVA *
PE文件-导出
weixin_45012273的博客
11-08 1417
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
PE文件导出
weixin_43742894的博客
04-01 773
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
iczelion pe tutcn7
jimgreen的专栏
08-29 898
 PE教程7: Export Table(引出)上一课我们已经学习了动态联接中关于引入那部分知识,现在继续另外一部分,那就是引出。 理论:当PE装载器执行一个程序,它将相关DLLs都装入该进程的地址空间。然后根据主程序的引入函数信息,查找相关DLLs中的真实函数地址来修正主程序。PE装载器搜寻的是DLLs中的引出函数。DLL/EXE要引出一个函数给其他DLL/EXE使
编辑/查看DLL文件PE导出工具ExpX-v0.5
05-21
ExpX是一个编辑/查看PE文件导出的工具。 利用它可以方便的对PE文件导出进行增、删、改的操作,现在它还可以用于给没有导出文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等...
获取PE文件导出函数列
06-19
PE 文件中,导出函数列是存储在节中的。 要获取 PE 文件导出函数列,需要使用 Windows API 中的函数,例如 `CreateFile`、`CreateFileMapping`、`MapViewOfFile` 等。这些函数可以帮助我们打开 PE 文件...
cvi 解析PE文件获取导出函数和虚拟地址
09-01
本文将深入探讨如何使用Labwindows/CVI解析PE文件以获取其导出函数和虚拟地址。 首先,让我们了解一下什么是Labwindows/CVI。Labwindows/CVI是由National Instruments公司开发的一种集成开发环境(IDE),专门...
PE文件导出函数
01-10
大部分人通过pNTHeader.OptionalHeader.DataDirectory[0].VirtualAddress获取导出函数,但不少DLL需要重新计算偏移,本例通过暴力搜索Section,避免某些情况下读取失败
PE结构导出详细解析
huobengle
01-27 513
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
PE文件导出
bailing1370的博客
07-23 178
1、数据目录第一个成员指向导出IMAGE_DATA_DIRECTORY[1] -> IMAGE_DIRECTORY_ENTRY_EXPORT。 1 struct _IMAGE_EXPORT_DIRECTORY 2 { 3 0x00 DWORD Characteristics; 4 0x04 DWORD TimeDateStamp; 5...
PE-导出
megaparsec
12-19 916
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
PE导出分析
istream1的博客
12-06 373
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
PE文件导出简介
weixin_43575859的博客
03-13 247
导出一般存在于 .dll 文件中,偶尔也存在于EXE文件中。PE文件被执行时,Windows装载器将文件装入内存并将导入登记的DLL文件装入,再把需要导入的函数的地址根据DLL文件导出中的信息对被执行文件导入中的IAT进行修正。所以导出就是存储了一个文件导出信息的,通过导出DLL文件向系统提供导出函数名称,序号和入口地址等信息,以便Windows装载器来完成动态链接的过程。 导...
PE文件导出解析
windows小菜鸡的博客
08-16 954
1、导出的结构 导出是option可选PE头的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称的RVA,需要转为FOA,每个存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称找到Ordinals下标,然后通过下标在Or
11.PE文件导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5421
目录 导出定位以及解析(手动) 代码定位导出并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
PE文件与输入免杀技术详解
数据目录指向PE文件内的特定区域,如导入导出等。节头和节则包含了程序的实际代码和数据。 接着,作者引出了输入,这是PE文件中一个关键的部分,通常用于记录程序运行时需要加载的动态链接库(DLL)及其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值