【2021.01.14】导出表

最新推荐文章于 2023-04-17 10:09:08 发布
最新推荐文章于 2023-04-17 10:09:08 发布
阅读量122 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/112638780
版权

如何定位导出表?

  1. 在扩展PE头(IMAGE_OPTIONAL_HEADER)的最后一个结构体成员有16张表(导出表、导入表、资源表等)。
  2. 所以能从其中找到IMAGE_DIRECTORY_ENTRY_EXPORT(其中存放了导出表的位置)。

导出表结构

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
成员说明
Characteristics未使用
TimeDateStamp时间戳
MajorVersion未使用
MinorVersion未使用
Name指向该导出表文件名字符串
Base导出函数起始序号
NumberOfFunctions所有导出函数的个数
NumberOfNames以函数名字导出的函数个数
AddressOfFunctions导出函数地址表RVA
AddressOfNames导出函数名称表RVA
AddressOfNameOrdinals导出函数序号表RVA

定位导出表

首先找到扩展PE头

  1. 扩展PE头的最后一个成员是一个结构体数组,数组中有16个成员也就是16张表,每个结构体宽度是8个字节。
  2. 导出表就在第一个结构体中。
  3. 从后往前数8行,每行16个字节,每个结构体宽度是8个字节。

找到导出表

  1. 导出表真正的位置由前4个字节决定。
  2. 导出表真正的数据一共有多少由后4个字节决定。
  3. 注意这里是RVA,如果内存对齐和文件对齐不同,需要将RVA转换为FOV。
oalken
关注
专栏目录
2021.01.13【R语言】丨去除行列名双引号
01-13 9009
在使用R语言 在使用R进行数据处理时,我们经常可能会需要对每一行的首行(可能是姓名,geneID等)进行比对。在比对过程中有时会遇到一个小问题,就是明明处理前和处理后的geneID没有变化,但是生成的文件中,列名和行名都打上了双引号,导致比对出现问题,这是为什么? 这里就要提到在R中write.table()的默认参数了。我们来举个例子 这是R已经读取的基因达水平的格文件,这里geneID还没有双引号的,最左边是R提供的排序列,之后通过row.names取消掉 接下来我们使用writ
pe文件对齐
goat_2003的博客
06-08 4021
内存对齐与文件对齐 一个pe文件无论在磁盘和内存中存放都会进行对齐,但他们的对齐值会不相同。 PE 文件头里边的FileAligment 定义了磁盘区块的对齐值。每一个区块从对齐值的倍数的偏移位置开始存放。而区块的实际代码或数据的大小不一定刚好是这么多,所以在多余的地方一般以00h 来填充,这就是区块间的间隙。 PE 文件头里边的SectionAligment 定义了内存中区块的对齐值。PE 文件被映射到内存中时,区块总是至少从一个页边界开始。 rva与fov的相互转换 RVA与FOV的相互转换 为.
windows PE文件格式笔记(二)RVAToFOV
一位非著名不专业的Re选手
12-11 810
什么是RVA,FOV RVA是相对虚拟地址,FOV是文件偏移 由于PE文件在磁盘上和在内存中的对齐粒度不同,会导致同一个PE文件在磁盘上和在内存中有两个不同的偏移,即,FOV和RVA. 在PE格式中查看对齐粒度 PE文件在磁盘和在内存的对齐粒度分别为: FileAlignment 和SectionAlignment 他们在PE扩展头中可以找到,PE扩展头的结构体: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields.
PE文件的基本结构-3 节和RVA换算
zhangxinrun的专栏
08-24 1440
<br />PE文件中所有节的属性都被定义在节中,节由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节总是被存放在紧接在PE文件头的地方。<br />IMAGE_SECTION_HEADER结构的定义如下:<br />TISHMisc = pack
PE文件的相对虚拟地址(RVA)和文件偏移地址(FOA)的转换
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
QIIME 2教程. 01简介和安装Introduction & Install(2021.2)
刘永鑫的博客——宏基因组公众号
03-16 2万+
写在前面QIIME是微生物组领域最广泛使用的分析流程,10年来引用20000+次,2019年Nature杂志评为近70年来人体菌群研究的25个里程碑事件——里程碑16:生物信息学工具助力菌...
【无标题】解决2021.01 VIVADO无法生成ZYNQ7000平台工程硬件文件
qq_29436293的博客
08-21 1266
解决ALINX教程,由于VIVADO工程版本,无法生成PS_hello硬件平台文件的问题
在线CAD平台,MxCAD云图 2021.01.20更新,在线CAD软件
u013725001的专栏
01-20 408
下载地址: http://www.mxcad.net:2080/MxCADx64Setup(Cloud)(20210120).exe 1. 修改有些图纸剪切,pdf导出看不见内容的问题 2. 在有些图上,当线型比例特别大时,带型的线型在AutoCAD中显示成实线,我们也改成和autocad一至 3. 修改打开图纸时,添加块记录不成的时候,在有些图纸上会出错的问题 4. 修改块引用的形文字显示出错问题 5. 增加PDF导出时,支持外部参照 6. 增加点周填充中间位置,也能选中填充的功能 7.
2021.11.01 c++下 opencv部署yolov5-6.0版本 (四)
热门推荐
qq_34124780的博客
11-01 2万+
此篇文章针对yolov5的6.0版本,4.0和5.0版本请看前面三篇的修改。
petalinux-2021.1在zynq7020的flash上启动linux
最新发布
Oh_my_God_L_C的博客
04-17 2393
使用petalinux工具zynq7020上搭建linux系统
objectarx2020+autocad2021 dotnet wizard.rar
03-17
3. **数据库访问**:AutoCAD的数据存储在DWG文件中,开发者可以通过ObjectARX或.NET API读写这些数据,实现数据的导入导出、备份恢复等功能。 4. **图形编程**:利用ObjectARX和.NET API,开发者可以创建复杂的图形...
NEWSCTF第二届--官方wp(2021.6.1萌新赛)
qq_55400494的博客
06-04 1万+
未经同意不得对本次比赛题目二次开发或做任何商业用途 题目源码及部分wp汇总如下 Reverse 1.2021.6.1萌新赛-re_signin 出题人:mumuzi 2.2021.6.1萌新赛-1+1的签到题 出题人:shangu 3.2021.6.1萌新赛-开门啊-1 出题人: tomPeter15 flag为ASCII可显示字符 4.2021.6.1萌新赛-开门啊-2 出题人: tomPeter15 flag为ASCII可显示字符 5.2021.6.1萌新赛-Qsay 出题人:Qfrost exp.cp
2021.01.15】注入ShellCode
oalken的博客
01-15 729
什么是ShellCode? 不依赖环境,在任何地方都能执行的机器码(硬编码)。 ShellCode的编写原则 不能有全局变量。 不能使用常量字符串、 不能使用系统调用。 不能嵌套调用其他函数。 ShellCode的问题 由于第 3 点,所以不能直接使用函数,因为直接使用函数在编译时会产生导入。而将代码复制到其他进程中,其他进程没有需要的导入,所以会出问题。 那么该怎么解决这个问题呢? 可以不依赖任何导入得到进程的TEB,其次,通过TEB找到PEB,再找到 3 个链。 对链进行遍
2021.01.16】HOOK攻防、瞬时(临时)HOOK
oalken的博客
01-16 699
常用手段 阶段一 防守:检测JMP(E9)、检测跳转范围。 攻击:想方设法绕开。 阶段二 防守:线程全代码校验/CRC校验。 攻击:修改检测代码、挂起检测线程。 阶段三 防守:相关API进行全代码校验,多个线程互相检测,并检测线程是否活动。 攻击:使用瞬时钩子/硬件钩子。 ...
2021.01.11】DOS头属性说明
oalken的博客
01-11 638
IMAGE_DOS_HEADER DOS头 DOS头由两部分组成:DOS MZ文件头和DOS块。 DOS块不是结构体,而是由单个字节组成的数据,可以填写任何内容。 但是DOS MZ文件头是一个结构体。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; ..
2021.01.14】RVA与FOA的转换
oalken的博客
01-14 365
RVA与FOA RVA:相对虚拟地址 FOA:文件偏移地址 如果想改变一个全局变量的初始值,该怎么做? 有初始值的全局变量和没有初始值的全局变量是有区别的,没有初始值的全局变量在PE文件中根本没有它的位置。 只有当被文件被载入到内存中以后,才会给其变量分配内存地址存放它的值。 而有初始值的全局变量,它的初始值是存放在PE文件中的。 面临的问题是什么? 知道了全局变量的内存地址后,不能直接拿着该变量的地址去PE文件中搜索,因为在内存中展开的PE文件和在文件中的PE文件它们的对齐方式是不同的。
2021.01.13】扩展PE头属性说明
oalken的博客
01-13 358
标准PE头 32位和64位PE头结构体有点差异,但是差异不是很大。 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; typedef struct _IMAGE_NT_HEADERS64 {
2021.01.12】标准PE头属性说明
oalken的博客
01-12 352
PE头 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE标识 IMAGE_FILE_HEADER FileHeader; //标准PE头 IMAGE_OPTIONAL_HEADER32 OptionalHeader; //扩展PE头 } IMAGE_NT_HEADERS..
2021.01.11】PE文件的两种状态
oalken的博客
01-11 353
主要结构体 注意 PE文件静态(不运行)和动态(运行)是有差异的。 结构体大小 结构体 大小(十进制) IMAGE_DOS_HEADER 64字节 DOS STUB 不确定(链接器插入的数据,可以修改、删除,不影响程序运行) IMAGE_FILE_HEADER 20字节 IMAGE_OPTIONAL_HEADER32 224字节 IMAGE_SECTION_HEADER 每个结构体的成员是40个字节 IMAGE_DOS_HEADER
- (CGSize)correctSize:(CGSize)size { size = CGSizeMake((int)size.width, (int)size.height); //2021.06.15 不修改设置的尺寸大小,保证原始比例(目前没有发现黑边问题,后期留意) int width = size.width; int height = size.height; //保证宽高为2的倍数,防止导出画面出现其他颜色的边线 if(width%2 != 0) width -= 1; if(height%2 != 0) height -= 1; // 2023.01.11 - 保证宽为40的倍数,iphone6s - pe 画板 - 自由画 - 涂鸦上色不正常bug(iphonex iphone12 不受影响) if(width%40 != 0) width = width - width%40; return CGSizeMake(width, height); }这段代码是什么意思
02-07
这段代码实现了一个名为 `correctSize` 的函数,它接受一个 `CGSize` 类型的参数 `size` 并返回一个 `CGSize` ...评论部分提到了代码可能存在的问题,可能是导出画面出现黑边问题或者导出画面在某些手机上不正常现象.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值