MemoryModule阅读与PE文件解析(五)----导出表

最新推荐文章于 2024-05-10 19:20:55 发布
最新推荐文章于 2024-05-10 19:20:55 发布
阅读量846 收藏
点赞数
分类专栏: 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/69388451
版权

上一篇我们介绍了TLS。

下面来看关于函数入口函数:

 

// get entry point of loaded library

   if(result->headers->OptionalHeader.AddressOfEntryPoint != 0) {

       if (result->isDLL) {

            DllEntryProc DllEntry = (DllEntryProc)(LPVOID)(code +result->headers->OptionalHeader.AddressOfEntryPoint);

            // notify library about attaching to process

            BOOL successfull =(*DllEntry)((HINSTANCE)code, DLL_PROCESS_ATTACH, 0);

            if (!successfull) {

                SetLastError(ERROR_DLL_INIT_FAILED);

                goto error;

            }

            result->initialized = TRUE;

       } else {

            result->exeEntry = (ExeEntryProc)(LPVOID)(code +result->headers->OptionalHeader.AddressOfEntryPoint);

       }

   } else {

       result->exeEntry = NULL;

}

 

得到函数的入口函数并返回。

另外,如果DLL 中没有定义DllMain函数,链接器将自动填充生成一个只是返回TRUE的默认DllMain函数。

到这里,DLL 的加载就结束了,下面来介绍DLL 的使用:

 

导出函数的调用

 

原本程序中并没有考虑到转发函数的情况,我们首先介绍转发DLL 的原理,然后介绍一份自己实现的函数:

ForwardDll

FORWARD     DLL

/*DEF 文件*/

 

LIBRARY

 

EXPORTS

               Forward=NormalDll.NormalFunc

 

/*.h 声明文件*/

#pragma once

#ifdef       FORWARDDLL

 

#else

 

#define FORWARDDLL                       extern "C" __declspec( dllimport)

 

#endif

 

FORWARDDLL   void           Forward();

 

FORWARDDLL   void           ForwardNormal();

  

 

/*.cpp 实现文件*/

// ForwardDll.cpp: 定义 DLL 应用程序的导出函数。

//

 

#include "stdafx.h"

#include <Windows.h>

#define FORWARDDLL        extern "C" __declspec( dllexport)

#include "ForwardDll.h"

#include "NormalDll.h"

#pragma comment (lib, "NormalDll");

void ForwardNormal ()

{

                MessageBoxA(NULL ,"Success", "ForwardDll",MB_OK );

}

 

#include "ForwardDll.h"

#pragma comment (lib, "ForwardDll")

int _tmain (int argc, _TCHAR * argv[])

{

                Forward();

                ForwardNormal();

                return 0;

}

 

  

 

或者:EXE 动态加载

 

#pragma once

#ifdef       FORWARDDLL

 

#else

 

#define FORWARDDLL                       extern "C" __declspec( dllimport)

 

#endif

 

FORWARDDLL   void           Forward();

 

FORWARDDLL   void           ForwardNormal();

  

 

// ForwardDll.cpp: 定义 DLL 应用程序的导出函数。

//

 

#include "stdafx.h"

#include <Windows.h>

#define FORWARDDLL        extern "C" __declspec( dllexport)

#include "ForwardDll.h"

//#include"NormalDll.h"

//#pragma comment(lib,"NormalDll")

#pragma  comment (linker,"/export:Forward=NormalDll.NormalFunc")

void ForwardNormal ()

{

                MessageBoxA(NULL ,"Success", "ForwardDll",MB_OK );

}

 

 

typedef VOID (*pfnDllFuc)( VOID);

int _tmain (int argc, _TCHAR * argv[])

{

                HMODULE hDll = LoadLibraryA( "ForwardDll.dll");

                if(hDll == NULL ) {

                               ErrorShow();

               } else {

                               pfnDllFuc DllFunc = (pfnDllFuc) GetProcAddress(hDll ,("Forward"));

                               if(DllFunc != NULL) {

                                              DllFunc();

                              }

                               FreeLibrary(hDll );

               }

 

                return 0;

}

我们查看ForwardDll.dll的导出表

 

两个函数对应的四个RVA,Forward函数对应的Function RVA和Name RVA相差很小,且与ForwardNormal 函数的Name RVA差不多,而ForwardNormal的Function RVA 却与其它三个有很大不同,通过查看其指向的内容发现:

如图所示的三个区域对应上述的三个相差不大的三个RVA,中间以00 分开,都指向同一块区域,且都指向以00结尾的字符串。

另外:


我们发现导出表存在于.rdata段中,上述三个区域都存在于导出表中。

而那个不同的段


如图所示属于.text段中。

因此,转发导出函数的函数RVA 指向导出表内部的一个字符串,而普通的导出函数对应的函数RVA 指向的是代码段的一个地址。由此我们可以得到如下获取DLL 导出函数地址的函数:

ULONG_PTR MyGetProcAddress(HMODULE hModule, LPCSTR lpProcName)

{

    int i;

    PIMAGE_DOS_HEADER   pImageDos = (PIMAGE_DOS_HEADER)hModule;

    PIMAGE_NT_HEADERS   pImageNt =(PIMAGE_NT_HEADERS)((ULONG_PTR)hModule + pImageDos->e_lfanew);

    PIMAGE_EXPORT_DIRECTORY pImageExportDirectory= (PIMAGE_EXPORT_DIRECTORY)((ULONG_PTR)hModule + pImageNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

 

    DWORD   dwExportRVA =pImageNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;

    DWORD   dwExportSize =pImageNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;

   

    DWORD*  pAddressOfFunc = (DWORD*)(pImageExportDirectory->AddressOfFunctions+ (DWORD)hModule);

    DWORD*  pAddressOfNames = (DWORD*)(pImageExportDirectory->AddressOfNames+ (DWORD)hModule);

    DWORD   dwNumberOfNames = (DWORD)(pImageExportDirectory->NumberOfFunctions);

    DWORD   dwBase = (DWORD)(pImageExportDirectory->Base);

 

    WORD*   pAddressOfNameOrdinals = (WORD*)(pImageExportDirectory->AddressOfNameOrdinals+ (DWORD)hModule);

 

    ULONG_PTR   dwName = (ULONG_PTR)lpProcName;

    char*       strFunc = NULL;

    char*   pRet = NULL;

    if ((dwName &0xffff0000) == 0)

    {

        goto Ordinal;

    }

    for (i = 0; i < (int)dwNumberOfNames;i++)

    {

        strFunc= (char*)((ULONG_PTR)pAddressOfNames[i]+ (ULONG_PTR)hModule);

        if (strcmp(strFunc, lpProcName) == 0)

        {

            pRet= (char*)((ULONG_PTR)(pAddressOfFunc[pAddressOfNameOrdinals[i]]+ (ULONG_PTR)hModule));

            goto Finish;

        }

    }

Ordinal:

    if (dwName < dwBase|| dwName > dwBase + pImageExportDirectory->NumberOfFunctions)

    {

        //不在导出表的内部,因此是通常的函数

        return (ULONG_PTR)0;

    }

    //得到对应的DLL 和 函数名称,然后递归调用本函数

    pRet= (char*)((ULONG_PTR)pAddressOfFunc[dwName- dwBase] + (ULONG_PTR)hModule);

Finish:

   

    if ((ULONG_PTR)pRet <dwExportRVA + (ULONG_PTR)hModule || (ULONG_PTR)pRet > dwExportRVA + (ULONG_PTR)hModule + dwExportSize)

    {

        return (ULONG_PTR)pRet;

    }

    if ((LONG_PTR)strFunc +(strlen(strFunc) + 1) * sizeof(char) == (LONG_PTR)pRet)

    {

        char* Temp =strchr(pRet, '.');

        if (Temp == NULL)

        {

            //printf("forward 却找不到'.' ");

        }

        char    szNewDll[100];

        //*Temp = 0; 不可写

        for (i = 0; pRet + i< Temp; i++)

        {

            szNewDll[i]= *(pRet + i);

        }

        szNewDll[i]= 0;

        strcat_s(szNewDll,".dll");

        //*Temp = '.';

        HMODULE     h = LoadLibraryA(szNewDll);

        if (h == NULL)

        {

            return (ULONG_PTR)pRet;

        }

        return MyGetProcAddress(h,Temp + 1);

    }

    else

    {

        return (ULONG_PTR)pRet;

    }

}

kiki商
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
POI导出-excel
03-12
POI导出-excel
PADS教程系列-PADS导出GERBER文件详细教程.pdf
05-31
本教程主要介绍了如何在PADS软件中导出GERBER文件,这是PCB制造过程中的关键步骤。GERBER文件是PCB生产所需的标准格式,包含了电路板的所有层信息。以下是对教程内容的详细解析: 首先,确保完成了前期的准备工作。...
开源项目推荐:MemoryModule
$firecat利白的代码足迹$
05-06 937
Library to load a DLL from memory. https://github.com/fancycode/MemoryModule https://www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/ 思路:把dll文件放到exe的资源文件里,使用MemoryModule加载到内存,远程注入到其他软件的进程里,注射完exe关闭,这样本地和其他软件的进程中就不会查到dll,从而做到隐藏运行。 在VS2015中把D.
推荐 MemoryModule - 完全自定义的内存模块!
gitblog_00001的博客
03-07 340
推荐 MemoryModule - 完全自定义的内存模块! MemoryModule 是一个开源的内存模块工具,它允许开发者完全自定义内存管理模块,从而更好地满足特定场景下的性能需求。 MemoryModule 能做什么? MemoryModule 提供了一个灵活的框架,使得开发者可以自定义内存分配、释放等操作,以优化应用程序在特定场景下的内存管理。无论是减少内存碎片、提高内存利用率还是提升内存访...
MemoryModule - exp - test
最新发布
谢绝留言与私信
05-10 927
MemoryModule 是从内存载入DLL的一种实现。测试一下和隐式载入DLL/显式载入在效果上有哪些不同?是否可以在内存中载入执行正规DLL的接口?在内存载入正规DLL时,是否可以在DLL中执行正常的API?是否可以正常调用其他正规DLL的接口?
MemoryModule: 更好的内存管理工具
gitblog_00006的博客
03-05 442
MemoryModule: 更好的内存管理工具 MemoryModule 是一个轻量级的库,旨在提供更好的内存管理和分析能力。它允许程序员更方便地进行内存分配、释放和检查,从而提高程序的稳定性和效率。 使用场景 MemoryModule 可以用于各种需要进行内存管理的场合。例如: 在开发过程中,可以通过 MemoryModule 进行内存泄露检测。 在优化代码性能时,可以使用 MemoryMod...
MemoryModule阅读PE文件解析(一)
商少
10-25 3383
参考链接https://github.com/fancycode/MemoryModule本文阅读github 上MemoryModule 代码的同时,介绍PE 文件相关的基础知识。      该项目实现“手动加载DLL”即“实现了自己的LoadLibrary函数”,将DLL 加载到内存中,然后进行常规的DLL 操作。 函数第一步,通过调用LoadLibrary 函数加载DLL 并进行一些常规的
MemoryModule阅读PE文件解析(二)---导入
商少
03-30 781
MemoryModule阅读PE解析(二)---导入 首先来了解导入的概念 头文件: #ifndef DLL_FUC #define DLL_FUC extern"C"  __declspec(dllimport) #endif 实现:这里函数只是简单的输出 HelloA   void HelloExprotFunctionA() {     printf(
商业编程-源码-PE文件分析器.zip
06-21
DOS头是一个遗留元素,确保程序能在DOS环境下运行,而PE头则包含指向PE文件各部分的指针,如节导出和导入等。 在源码中,我们可能会看到解析这些头部结构的过程。解析器会逐字节读取文件,识别特定的签名(如...
编辑/查看DLL文件PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件导出进行增、删、改的操作,现在它还可以用于给没有导出文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
pe-parse:原理轻巧的CC ++ PE解析
05-12
pe-parse是用于Windows可移植可执行文件的有原则的轻量级解析器。 创建该文件是为了帮助您进行编译后的程序分析,可能是未知来源程序的分析。 这意味着它应该能够抵抗格式错误或恶意制作的PE文件,并且应该支持分析...
MemoryModule windows 下内存加载动态库的源代码
05-25
windows 下在内存中加载动态库实现的源代码 MemoryModule
go-MemoryModule:转到MemoryModule的绑定示例
05-01
go-MemoryModule 转到MemoryModule的绑定示例 构建内存模块和Go的64位版本。 已在Ubuntu 14.04 LTS上测试。 安装所需的软件包: sudo apt-get install cmake sudo apt-get install golang-go-linux-386 golang-go-windows-386 golang-go-windows-amd64 sudo apt-get install g++-mingw-w64-x86-64 g++-mingw-w64-i686 gcc-mingw-w64-i686 gcc-mingw-w64-x86-64 从此特定分支克隆(直到接受拉取请求): cd /source git clone -b fix-deprecated-wcsnicmp https://github.com/kost/Mem
内存加载dll
03-26
内存加载动态库 MemoryLoadLibrary 有例子。 /* * Memory DLL loading code * Version 0.0.3 * * Copyright (c) 2004-2013 by Joachim Bauch / mail@joachim-bauch.de * http://www.joachim-bauch.de * * The contents of this file are subject to the Mozilla Public License Version * 2.0 (the "License"); you may not use this file except in compliance with * the License. You may obtain a copy of the License at * http://www.mozilla.org/MPL/ * * Software distributed under the License is distributed on an "AS IS" basis, * WITHOUT WARRANTY OF ANY KIND, either express or implied. See the License * for the specific language governing rights and limitations under the * License. * * The Original Code is MemoryModule.h * * The Initial Developer of the Original Code is Joachim Bauch. * * Portions created by Joachim Bauch are Copyright (C) 2004-2013 * Joachim Bauch. All Rights Reserved. * */ #ifndef __MEMORY_MODULE_HEADER #define __MEMORY_MODULE_HEADER #include typedef void *HMEMORYMODULE; typedef void *HMEMORYRSRC; typedef void *HCUSTOMMODULE; #ifdef __cplusplus extern "C" { #endif typedef HCUSTOMMODULE (*CustomLoadLibraryFunc)(LPCSTR, void *); typedef FARPROC (*CustomGetProcAddressFunc)(HCUSTOMMODULE, LPCSTR, void *); typedef void (*CustomFreeLibraryFunc)(HCUSTOMMODULE, void *); /** * Load DLL from memory location. * * All dependencies are resolved using default LoadLibrary/GetProcAddress * calls through the Windows API. */ HMEMORYMODULE MemoryLoadLibrary(const void *); /** * Load DLL from memory location using custom dependency resolvers. * * Dependencies will be resolved using passed callback methods. */ HMEMORYMODULE MemoryLoadLibraryEx(const void *, CustomLoadLibraryFunc, CustomGetProcAddressFunc, CustomFreeLibraryFunc, void *); /** * Get address of exported method. */ FARPROC MemoryGetProcAddress(HMEMORYMODULE, LPCSTR); /** * Free previously loaded DLL. */ void MemoryFreeLibrary(HMEMORYMODULE); /** * Find the location of
MemoryModule0.0.4
03-26
从内存装载DLL,支持64位DLL,是MemoryModule最新版本,亲测可用
MemoryModule阅读PE文件解析(三)
商少
04-04 848
前面我们提到一个函数 CopySections ,该函数将文件中的段拷贝到我们申请的内存中,并按照内存页面的大小进行对齐。拷贝过程中设置了每个段的PhysicalAddress的值为该段的虚拟地址,用于后面的操作。 要理解这个段,首先应该理解_IMAGE_SECTION_HEADER 中  的联合体 union {             DWORD   PhysicalAddress;
PE 导出
不会写代码的丝丽
04-09 649
名称寻址 我们下window经常导出函数,因此在动态库我们往往有一个特殊结构叫做导出。 Microsoft官方文档说明 我们首先看一个导出模块信息 #export.def EXPORTS MsgBox Foo TestFunc ABCDFunc 上面我们导出四个函数且是名称导出 我们的导出地址位于NT头中数据目录的第一项。 这个导出目录的位于虚拟地址的2060h处 换算成文件地址为660h 相关的数据结构 对应上面的数值我们得出以下数据 Field Value 备注 E
PE导出分析
istream1的博客
12-06 356
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
PE文件-导出
weixin_45012273的博客
11-08 1401
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
AC-DMISv5.2 输出Q-DAS文件操作指南
这篇文档是关于AC-DMISv5.2版本的测量软件如何与Q-DAS系统集成,进行文件输出的操作指南。Q-DAS是一款广泛应用于制造业的质量管理系统,它能够收集、评估和报告过程质量数据,实现统计过程控制(SPC)。AC-DMIS则是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值