PE总结8---PE文件结构之导出表 (IMAGE_EXPORT_DIRECTORY)

最新推荐文章于 2022-12-12 17:00:41 发布
最新推荐文章于 2022-12-12 17:00:41 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50231677
版权
本文详细介绍了PE文件结构中的导出表,包括其作用、组成和解析过程。通过导出表,DLL文件可以提供导出函数的名称、序号和入口地址。导出表由名称表、函数表和序号表构成,它们共同协助调用者找到实际的函数。文章还展示了如何利用LordPE和010Editor等工具解析导出表的各个部分,例如Name、AddressOfFunctions、AddressOfNames和AddressOfNameOrdinals,并找到了相应的函数地址。
摘要由CSDN通过智能技术生成

导出表中导出的是供其他PE文件使用的函数、变量或者类的行为。

导出表记载着动态链接库的一些导出信息。通过导出表,DLL 文件可以向系统提供导出函数的名称、序号和入口地址等信息,比便Windows 加载器通过这些信息来完成动态连接的整个过程。   

导出表由3个部分构成:  名称表,   函数表,   序号表。   名称表和序号表就是索引,引导调用者找到真正的函数表。   函数表中保存着被导出函数的地址信息

   导出表在内存中的顺序是按照输出名称来确定的。

    IMAGE_EXPORT_DIRECTORY结构:

typedef struct _IMAGE_EXPORT_DIRECTORY {
	DWORD Characteristics;			//保留 总是定义为0
	DWORD TimeDateStamp;			//文件生成时间
	WORD  MajorVersion;				//主版本号 一般不赋值
	WORD  MinorVersion;				//次版本号 一般不赋值
	DWORD Name;						//模块的真实名称
	DWORD Base;						//索引基数 加上序数就是函数地址数组的索引值
	DWORD NumberOfFunctions;		//地址表中个数
	DWORD NumberOfNames;			//名称表的个数
	DWORD AddressOfFunctions;		//输出函数地址的RVA
	DWORD AddressOfNames;			//输出函数名字的RVA
	DWORD AddressOfNameOrdinals;	//输出函数序号的RVA
} IMAGE_EXPORT_DIRECTORYM, *pIMAGE_EXPORT_DIRECTORY;

如果在010Editor中的信息如下:

最低0.47元/天 解锁文章
布衣僧
关注
专栏目录
对Osloader.exe进行分析 查找e_lfanew,IMAGE_EXPORT_DIRECTORYAddressOfFunctions
Lawliet_233的博客
11-09 1120
1.使用winhex打开从NTLDR中提取出的oslader.exe2.查找e_lfanew3.查找IMAGE_EXPORT_DIRECTORY->AddressOfFunctions通过上图我们可以得出,导出的RVA是 000357B0h ,Size是 000006AFh。我们借助LordPE可以确定在哪个区段中, 因为导出的RVA是000357B0h 是大于00031000h 但是小于00
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3799
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出,DLL 文件
IMAGE_EXPORT_DIRECTORY
夜空中最亮的星
10-30 2663
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //creation time date stamp WORD MajorVersion; WORD MinorVersion; DWORD Name; //address of library file
11.PE文件导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5590
目录 导出定位以及解析(手动) 代码定位导出并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
[PE结构分析] 9.导出 IMAGE_EXPORT_DIRECTORY
weixin_33933118的博客
08-16 181
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
PE总结7---PE文件结构NT头之数据目录 IMAGE_DATA_DIRECTORY
oBuYiSeng的博客
12-09 6873
IMAGE_DATA_DIRCTORY结构如下: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //相对虚拟地址 DWORD Size;      //大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;   data directory数据目录在WINNT.H中定义为
PE结构->【导出Export
u011513939的博客
06-22 522
PE 文件被执行的时候,Windows 加载器将文件装入内存并将导出(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的。动态链接库可以使用应用程序的资源,它所拥有的资源也可以被应用
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 330
笔记:PE结构(6)导出解析
VC 解析PE导出 导入
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出,导入
导出 IMAGE_EXPORT_DIRECTORY
Ghjhfssfgk的博客
01-28 393
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
导出函数结构 EXPORT_DIRECTORY
dengjiatao9832的博客
09-21 143
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //输出的创建时间 WORD MajorVersion; //输出的主版本号。未使用设置为0 WORD Mi...
WindowsPE 第五章 导出编程-1(枚举导出
天使也掉毛
12-06 850
导出编程 枚举导出
提取NTLDR文件,分解Osloader.exe;pe文件找e_lfanew、IMAGE_EXPORT_DIRECTORY->AddressOfFunctions
MrLeaper 的博客
09-27 1302
1.1找出NTLDR文件。 NTLDR文件位于xp操作系统c盘的根目录下,不过要先设置可以查看隐藏的系统文件。 将这一栏去掉,之后就找到了。 1.2分解osloader.exe 将NTLDR文件放入winhex; 然后找到MZ段; 在此处添加alt+1,文件尾部添加alt+2,此部分就是osloader.exe。 然后右键'edit
PE资源结构及读取
Dustfly的专栏
01-06 2612
  PE资源结构及读取作者:Sunline               lisunlin0@yahoo.com.cn       2007 年 7 月源代码下载:http://download.csdn.net/source/359338  其中的Source文件夹中.       下面的一些函数是我在学习PE结构时参考Matt Pietrek的《A Tour of the Win32 P
PE_导出
个人笔记
04-01 1037
导出导出概念导出的作用导出数据结构IMAGE_EXPORT_DIRECTORYIMAGE_EXPORT_DIRECTORY.nNameIMAGE_EXPORT_DIRECTORY.NumberOfFunctionsIMAGE_EXPORT_DIRECTORY.NumberOfNamesIMAGE_EXPORT_DIRECTORY.AddressOfFunctionsIMAGE_EXPORT_DIRECTORY.nBaseIMAGE_EXPORT_DIRECTORY.AddressOfNamesI
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
最新发布
m0_62783065的博客
12-12 1316
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE-导出
megaparsec
12-19 954
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值