IMAGE_EXPORT_DIRECTORY

最新推荐文章于 2023-03-22 11:13:12 发布
最新推荐文章于 2023-03-22 11:13:12 发布
阅读量2.6k 收藏
点赞数 1
分类专栏: PE 逆向 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pxm2525/article/details/40625873
版权
逆向 同时被 2 个专栏收录
10 篇文章 1 订阅
订阅专栏
PE
8 篇文章 0 订阅
订阅专栏 
<span style="font-size:12px;">typedef struct _IMAGE_EXPORT_DIRECTORY {
	DWORD Characteristics;
	DWORD TimeDateStamp;			//creation time date stamp
	WORD MajorVersion;
	WORD MinorVersion;
	DWORD Name;						//address of library file name
	DWORD Base;						//ordinal base
	DWORD NumberOfFunctions;		//number of functions
	DWORD NumberOfNames;			//number of names
	DWORD AddressOfFunctions;		//address of function start address array
	DWORD AddressOfNames;			//address of function name string array
	DWORD AddressOfNameOrdinals;	//address of ordinal array
} IMAGE_EXPORT_DIRECTORYM, *pIMAGE_EXPORT_DIRECTORY;</span>


NumberOfFunctions       实际Export函数的个数

NumberOfNames           Export函数中具名的函数个数

AddressOfFunctions      Export函数地址数组(数组元素个数 == NumberOfFunctions)    

AddressOfNames           函数名称地址数组(数组元素个数 == NumberOfNames)

AddressOfNameOrdinals    Ordinal地址数组(数组元素个数 == NumberOfNames)


GetProcAddress()操作原理

1.利用AddressOfNames 成员转到 “函数名称数组”

2.“函数名称数组“中存储着字符串地址。通过比较(strcmp)字符串,查找指定的函数名称(此时数组的索引称为name_index)

3.利用AddressOfNameOrdinals成员,转到orinal数组

4.在orinal数组中通过name_index查找相应orinal值

5.利用AddressOfFunctions成员转到”函数地址数组“(EAT)

6.在”函数地址数组”中将刚刚求得的ordinal用作数组索引,获得指定函数的起始地址

termonitor
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结8---PE文件结构之导出表 (IMAGE_EXPORT_DIRECTORY
oBuYiSeng的博客
12-09 2302
导出表由3个部分构成:  名称表,   函数表,   序号表。   名称表和序号表就是索引,引导调用者找到真正的函数表。   函数表中保存着被导出函数的地址信息    导出表在内存中的顺序是按照输出名称来确定的。     IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri
对Osloader.exe进行分析 查找e_lfanew,IMAGE_EXPORT_DIRECTORYAddressOfFunctions
Lawliet_233的博客
11-09 1096
1.使用winhex打开从NTLDR中提取出的oslader.exe2.查找e_lfanew3.查找IMAGE_EXPORT_DIRECTORY->AddressOfFunctions通过上图我们可以得出,导出表的RVA是 000357B0h ,Size是 000006AFh。我们借助LordPE可以确定在哪个区段表中, 因为导出表的RVA是000357B0h 是大于00031000h 但是小于00
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表
pjz969的专栏
02-26 3776
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出表就是记载着动态链接库的一些导出信息。通过导出表,DLL 文件可
导出表 IMAGE_EXPORT_DIRECTORY
Ghjhfssfgk的博客
01-28 349
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
[PE结构分析] 9.导出表 IMAGE_EXPORT_DIRECTORY
weixin_33933118的博客
08-16 171
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
ehlib_vcl_src_9_3.26
04-26
writes all units in necessary directory, installs packages and help files in IDE. -------------------- 2.2 Installing library manually ------------------- Follow next instructions to install files ...
HAPEiD_jb51
09-29
You can also optionally dump a module and scan the dumped image. You can also view all dependant modules of the processes. Multiple File Scan Module ------------------------- You can scan multiple...
易语言PE输出表模块
07-18
易语言PE输出表模块源码,PE输出表模块,取输出表,LoadLibrary,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS,RtlMoveMemory_IMAGE_EXPORT_DIRECTORY,RtlMoveMemory,lstrlen,FreeLibrary
PE文件结构所有结构体图
08-31
`IMAGE_EXPORT_DIRECTORY`结构体描述了导出表。 6. **资源表**:PE文件可能包含各种资源,如图标、字符串、版本信息等。资源表由`IMAGE_RESOURCE_DIRECTORY`结构体及其子结构体定义。 7. **重定位表**:由于PE文件...
PE解析器(C语言).zip
08-19
5. 导入表和导出表:解析IMAGE_IMPORT_DESCRIPTOR和IMAGE_EXPORT_DIRECTORY结构,以获取PE文件的导入和导出函数信息。导入表列出其他模块被引用的函数,而导出表列出本模块对外提供的函数。 6. 资源表解析:资源表...
导出函数结构 EXPORT_DIRECTORY
dengjiatao9832的博客
09-21 130
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //输出表的创建时间 WORD MajorVersion; //输出表的主版本号。未使用设置为0 WORD Mi...
11.PE文件之导出表(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5244
目录 导出表定位以及解析(手动) 代码定位导出表并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出表 PE中的导出表通常存在于动态链接库文件里.有些EXE也会存在导出表.导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入表中登记的与该动态链接库相关的由INT指
提取NTLDR文件,分解Osloader.exe;pe文件找e_lfanew、IMAGE_EXPORT_DIRECTORY->AddressOfFunctions
MrLeaper 的博客
09-27 1266
1.1找出NTLDR文件。 NTLDR文件位于xp操作系统c盘的根目录下,不过要先设置可以查看隐藏的系统文件。 将这一栏去掉,之后就找到了。 1.2分解osloader.exe 将NTLDR文件放入winhex; 然后找到MZ段; 在此处添加alt+1,文件尾部添加alt+2,此部分就是osloader.exe。 然后右键'edit
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题
cay22的专栏
02-04 2695
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT问题 今天读取了ws2_32.dll的PE格式 在读取到image_nt_header32.OptionalHeader.DataDirectory[11]时 也就是IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT数据目录 看下面数据目录        Name            RVA
PE-导出表
megaparsec
12-19 890
导出表 导出表描述了导出表所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出表存在于动态链接库文件里。导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出表作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出表。 通常情况下,导出表存在于动态链接库文件里。 导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
ELF&PE 文件结构分析
Always On The Way
11-01 2230
ELF&amp;PE 文件结构分析 说简单点,ELF 对应于UNIX 下的文件,而PE 则是Windows 的可执行文件,分析ELF 和 PE 的文件结构,是逆向工程,或者是做调试,甚至是开发所应具备的基本能力。在进行逆向工程的开端,我们拿到ELF 文件,或者是PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。不说废话,开始分析: ELF和PE 文件都是基于Unix 的 COFF(...
PE导出表,C语言打印导出表信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 762
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出表。
PE结构学习(5)_导入表与导出表
xf555er的博客
08-07 1001
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出表简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出表里面任何PE文件还会调用哪些PE文件都会记录在导入表里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入表。...
from .data_utils.data_loader import image_segmentation_generator, \ ImportError: attempted relative import with no known parent package
最新发布
11-24
export PYTHONPATH=/path/to/parent/directory ``` 以下是一个使用绝对导入的例子: ```python from mypackage.data_utils.data_loader import image_segmentation_generator # 使用image_segmentation_generator...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值