PE总结9 --PE文件结构之 解析导出表

最新推荐文章于 2024-07-10 17:42:39 发布
最新推荐文章于 2024-07-10 17:42:39 发布
阅读量865 收藏 2
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50231945
版权 
// 导出表2.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <stdlib.h>
#include <stdlib.h>

DWORD RVA2OffSet(DWORD dwRVA, PIMAGE_NT_HEADERS32  pNt)
{
  DWORD dwOffset = 0;
 
  //获取区段头表
  PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNt);

  //获取区段的数量
  DWORD dwSize = pNt->FileHeader.NumberOfSections;

  //遍历找到dwRVA所在的区段
  for (DWORD i = 0; i < dwSize; i++)
  {
     if (dwRVA>=pSection[i].VirtualAddress  &&
       dwRVA < (pSection[i].Misc.VirtualSize + pSection[i].VirtualAddress))
     {
       dwOffset = dwRVA - pSection[i].VirtualAddress + pSection[i].PointerToRawData;
       return dwOffset;
     }
  }
  return dwOffset;
}

void ShowExport(PVOID lpImage, DWORD dwSize)
{
  //获取Dos头
  PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpImage;
  if (IMAGE_DOS_SIGNATURE != pDos->e_magic )
  {
     return;
  }

  //获取nt头
  PIMAGE_NT_HEADERS32 pNt = (PIMAGE_NT_HEADERS32)((DWORD)lpImage + pDos->e_lfanew);
  if (IMAGE_NT_SIGNATURE != pNt->Signature)
  {
     return;
  }

  //获取目录表
  PIMAGE_DATA_DIRECTORY pData = pNt->OptionalHeader.DataDirectory;

  //获取导出表RVA
  pData = &(pData[IMAGE_DIRECTORY_ENTRY_EXPORT]);

  //获取导出表在文件中的偏移
  DWORD dwExtOffset = RVA2OffSet(pData->VirtualAddress, pNt);
  PIMAGE_EXPORT_DIRECTORY pExpt = (PIMAGE_EXPORT_DIRECTORY)((DWORD)lpImage + dwExtOffset);

  //获取数量
  DWORD dwFunCount = pExpt->NumberOfFunctions;
  DWORD dwNameCount = pExpt->NumberOfNames;
  DWORD dwModName = pExpt->Name;

  //获取地址表
  PDWORD pEAT = (PDWORD)((DWORD)lpImage + RVA2OffSet(pExpt->AddressOfFunctions, pNt));
  //获取名称表
  PDWORD pENT = (PDWORD)((DWORD)lpImage +RVA2OffSet(pExpt->AddressOfNames, pNt));
  //获取索引表-----这里要使用WORD
  PWORD pEIT = (PWORD)((DWORD)lpImage + RVA2OffSet(pExpt->AddressOfNameOrdinals, pNt));

  for (DWORD dwOrd = 0; dwOrd < dwFunCount; dwOrd++)
  {   //这里如果没有的话是个NULL
     if (!pEAT[dwOrd])
     {
       continue;
     }

     //获取函数的实际序号
     DWORD dwID = pExpt->Base + dwOrd;

     //获取导出函数地址值
     DWORD dwFunOffset = RVA2OffSet(pEAT[dwOrd], pNt);

     printf("函数序号: %08d RVA:%p  函数偏移:%p ",
       dwID,
       pEAT[dwOrd],
       dwFunOffset);
      
     //获取函数名
     // 根据序号索引到函数名称表中的名字
     for (DWORD dwIndex = 0; dwIndex < dwNameCount; dwIndex++)
     {
       // 在序号表中查找函数的序号<span style="font-family: Arial, Helvetica, sans-serif;">------------序号表的值 对应着 地址表的下标</span>

       if (pEIT[dwIndex] == dwOrd)
       {
          // 根据序号索引到函数名称表中的名字
          DWORD dwNameOffset = RVA2OffSet(pENT[dwIndex], pNt);
          char* pFunName = (char*)((DWORD)lpImage + dwNameOffset);
          printf("函数名称: %s\n",
            pFunName);

          continue;
       }
          
     }
     printf("\n");
  }
  
}

int _tmain(int argc, _TCHAR* argv[])
{
  LPCTSTR path = L"C:\\Users\\Denny\\Desktop\\(手动查找导入导出表)\\(手动查找导入导出表)\\MFCLibrary1Dll.dll";

  HANDLE hFile = nullptr;

  if ( INVALID_HANDLE_VALUE == (hFile = CreateFile(path, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL) ))
  {
     return 0;
  }

  DWORD dwSize = 0;
  if ( INVALID_FILE_SIZE == (dwSize = GetFileSize(hFile, NULL)))
  {
     CloseHandle(hFile);
     return 0;
  }

  PVOID lpFileImage = nullptr;
  if (!(lpFileImage = VirtualAlloc(NULL, dwSize, MEM_COMMIT, PAGE_READWRITE)))
  {
     CloseHandle(hFile);
     return 0;
  }

  DWORD dwRet = 0;
  //将文件内容读取到内容空间
  if (! ReadFile(hFile, lpFileImage, dwSize, &dwRet, NULL))
  {
     CloseHandle(hFile);
     VirtualFree(lpFileImage, dwSize, MEM_RELEASE);
     return 0;
  }

  ShowExport(lpFileImage, dwSize);

  system("pause");
  return 0;
}

布衣僧
关注
专栏目录
WIN32汇编语言程序设计——查看PE文件导出
evagenius的博客
03-24 517
PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。在这些包含导出函数的DLL文件中,导出信息被保存在导出中,通过导出,DLL文件向系统提供导出函数的名称、序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。(1) 子程序参数1:已经读取到内存中的文件头的地址。2. 获取数据块的文件偏移地址。
PE总结8---PE文件结构导出 (IMAGE_EXPORT_DIRECTORY)
oBuYiSeng的博客
12-09 2342
导出由3个部分构成:  名称,   函数,   序号。   名称和序号就是索引,引导调用者找到真正的函数。   函数中保存着被导出函数的地址信息    导出在内存中的顺序是按照输出名称来确定的。     IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri
iczelion pe tutcn7
jimgreen的专栏
08-29 929
 PE教程7: Export Table(引出)上一课我们已经学习了动态联接中关于引入那部分知识,现在继续另外一部分,那就是引出。 理论:当PE装载器执行一个程序,它将相关DLLs都装入该进程的地址空间。然后根据主程序的引入函数信息,查找相关DLLs中的真实函数地址来修正主程序。PE装载器搜寻的是DLLs中的引出函数。DLL/EXE要引出一个函数给其他DLL/EXE使
PE文件学习笔记(三):导出(Export Table)解析
Apollon_krj的博客
08-17 6411
数据目录(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十六个元素分别存储了不同信息,分别是:导入导出、资源、异常信息、安全证书、重定位、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的有:导出、导入、重定位、IA
导出解析
qq_58405021的博客
01-03 239
导出解析
解析导出
tscg_的博客
04-03 187
假设现在有一个exe程序使用了一个dll,对于这个exe程序而言,dll文件就相当于一个黑盒子,里面装的内容exe一点也不清楚。所以什么是导出导出就是dll的一份清单,里面记录了它有多少个函数,函数的地址等相关信息补充:exe并不是没有导出,而是大部分exe没有导出另外,数据目录有16个,其中第一个就是导出
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
PE结构->【导出】工具包
06-22
本工具包专注于PE文件导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address Table, EAT)**:这是导出的核心,记录了导出函数的实际地址。EAT由一系列导出函数项组成,每个函数...
PE总结13 --PE文件结构解析资源
oBuYiSeng的博客
12-11 2722
// 资源2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include DWORD RVA2Offset(DWORD dwRva, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; PIMAGE_SECTION_HEADER pSection = I
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
PE文件结构 PE文件由多个部分组成,主要分为DOS头、PE头和节区等关键部分。 - **DOS头**:PE文件起始于一个DOS程序头,这是为了保持与早期DOS系统的兼容性。它包含一个简单的DOS程序,可以跳转到PE头。 - **...
VC 解析PE导出 导入
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出,导入
PE结构导出详细解析
huobengle
01-27 536
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
PE文件-导出
weixin_45012273的博客
11-08 1441
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
PE文件导出
weixin_43742894的博客
04-01 793
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
PE文件导出
bailing1370的博客
07-23 194
1、数据目录第一个成员指向导出IMAGE_DATA_DIRECTORY[1] -> IMAGE_DIRECTORY_ENTRY_EXPORT。 1 struct _IMAGE_EXPORT_DIRECTORY 2 { 3 0x00 DWORD Characteristics; 4 0x04 DWORD TimeDateStamp; 5...
PE格式解析-导出分析
走在成长的路上
12-25 1609
关于于PE文件导出的格式解析
PE文件(九)导出
最新发布
2301_78838647的博客
07-10 1173
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称RVA我们在硬盘数据找该地址时要先转成FOA,这个地址指向的记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称RVA *
PE文件(2)导出
nyzdmc的博客
03-02 420
PE文件(2)导出 导出概念 导出就是记载着动态链接库的一些导出信息。 通过导出,DLL 文件可以向系统提供导出函数的名称、序号和入口地址等信息,Windows 加载器通过这些信息来完成动态连接的整个过程。 扩展名为.exe 的PE 文件中一般不存在导出,而大部分的.dll 文件中都包含导出。但这并不是绝对的。例如纯粹用作资源的.dll 文件就不需要导出函数啦,另外有些特殊...
11.PE文件导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5601
目录 导出定位以及解析(手动) 代码定位导出并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
Windows PE文件结构详析与关键数据结构解析
PE文件结构详解是一篇深入解析Windows NT引入的PE(Portable Executable)文件格式的文章。PE文件格式是在Windows NT 3.1中启用的一种新的可执行文件格式,它的设计灵感来源于UNIX的COFF规范,同时为了保持向后兼容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值