PE格式解析-导出表分析

最新推荐文章于 2024-07-10 17:42:39 发布
最新推荐文章于 2024-07-10 17:42:39 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: 逆向工程 文章标签: PE 导出表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30145355/article/details/78888678
版权

导出表:PE文件中保存导出函数的导出表,常见导出表位于DLL文件中。

示例 MyDll.dll
这里写图片描述

1、找出导出表(又名输出表)位置
(1)使用WINHEX打开Dll文件,根据PE文件的可选头(Image_Optional_Header)找到输出表位置(查找方法链接),或者使用LoadPE查看
这里写图片描述
前4个字节表示输出表RVA,后四个字节表示输出表大小
输出表RVA:0017D40
输出表大小:1A0

(2)计算输出表在文件中的偏移
这里写图片描述
(关于RVA与文件偏移的计算,前面有提到,这里通通省略计算)
计算出输出表的文件偏移量:00006B40

2、根据导出表(输出表)结构分析二进制
(1)导出表结构
导出表
保留字:用于以后PE文件的拓展使用
时间日期记录:Dll创建的日期
函数的总数:共导出了几个API
FAT表RVA值(AddressOfFunctions):导出函数的地址表(保存的是导出函数的模块被加载到内存后,所导出的函数在内存中的地址)
FAT表RVA值(AddressOfNames):导出函数的函数名表(保存的是导出函数的函数名的RVA值)

(2)在WINHEX中,跳到6B40位置
这里写图片描述
保留字:00000000
时间日期记录:5A369320
Dll的首版本号:0000
Dll的次版本号:0000
Dll的模块名(RVA):00017D90->文件偏移量(6B90),图片中可以看到,6B90处对应的就是我们Dll的名字 MyDll.dll
基数:00000010
函数的总数:00000004
有名函数的总数:00000004
FAT表RVA值(AddressOfFunctions):00017D68->文件偏移量(6B68),从图片中得出6B68地址处的值 00011032 该值为第一个导出函数的RVA值,依次往下的 0001102D、000111DB、00011131 分别为其余三个函数地址的RVA值
这里写图片描述
FAT表RVA值(AddressOfNames):00017D78->文件偏移量(6B78),从图片中得出6B78地址处的值 00017D9A(文件偏移:6B9A) 该值为第一个导出函数的RVA值,依次往下的
00017DAA(文件偏移:6BAA)
00017DC0(文件偏移:6BC0)
00017DBA(文件偏移:6BBA)
分别为其余三个函数名的RVA值(查看 对应文件偏移量处的 函数名)
这里写图片描述

总结:导出表的结构类似一个多级指针数组的结构。
例如:查找函数名,首先是查找到保存“导出函数的函数名的数组的地址”的指针(AddressOfNames),该指针的值保存着“导出函数的函数名的RVA值的数组”,找到导出函数的函数名的RVA值的数组后,根据数组中保存的RVA值,再找到每个导出函数的函数名的文件偏移,再获取函数名即可。

3、导出表的使用
(1)用于DLL的拦截
例如:有个应用程序text.exe运行的时候需要调用程序文件夹下的MyDll.dll,该Dll中有4个导出函数
1)拦截的Hack可以先将MyDll.dll改名为yourDll.dll
2)自己实现一个DLL,使得该Dll导出函数名称与原始的MyDll.dll同名,且导出函数要相同
3)将自己实现的DLL改名为MyDll.dll,并放到需要拦截的程序文件夹下
此时我们就可以在我们实现的MyDll.dll中实现我们需要拦截的内容,拦截完成后再在MyDll.dll中转发调用yourDll.dll(避免程序无法运行)

(2)用于逆向的分析相关算法(使用得比较少)

本文难免有所错误,如有问题欢迎留言

_观众
关注
专栏目录
【C++源码】PE文件结构中导出解析
ProgrammingLearner的博客
08-31 3510
【C++源码】PE文件结构中导出解析 控制台版本
PE文件基础(不全还在补全) V1.0
dohxxx的博客
10-05 505
PE的基本概念 地址: PE中设计的地址有四类: 1.虚拟内存地址(VA): 用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA), 所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址 2,相对虚拟内存(...
PE结构导出详细解析
huobengle
01-27 526
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
PE文件(九)导出
最新发布
2301_78838647的博客
07-10 1111
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称RVA我们在硬盘数据找该地址时要先转成FOA,这个地址指向的记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称RVA *
PE知识复习之PE导出
weixin_30580943的博客
10-03 75
                   PE知识复习之PE导出 一丶简介  在说明PE导出之前.我们要理解.一个PE可执行程序.是由一个文件组成的吗. 答案: 不是.是由很多PE文件组成.DLL也是PE文件.如果我们PE文件运行.那么就需要依赖DLL.系统DLL就是Kerner32.dll user32.dll等等.这些都是PE文件. 什么是导出:     导出就是当前的PE文件...
PE总结9 --PE文件结构之 解析导出
oBuYiSeng的博客
12-09 858
// 导出2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include DWORD RVA2OffSet(DWORD dwRVA, PIMAGE_NT_HEADERS32 pNt) { DWORD dwOffset = 0; //获取区段头 PIMAGE_SECTION_HEADER
IATHOOK 易语言 还有PE文件格式解析 导入 导出
01-20
适合小白练习
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
以下是对PE文件格式的详细解析。 ### 1. PE文件结构 PE文件由多个部分组成,主要分为DOS头、PE头和节区等关键部分。 - **DOS头**:PE文件起始于一个DOS程序头,这是为了保持与早期DOS系统的兼容性。它包含一个...
PE基础学习-手动查询导出练习DLL
10-12
3. **解析导出**:导出通常包含导出函数的名字、序号、地址等信息。通过导出的结构体,可以获取到这些信息。 4. **处理导出函数**:根据导出函数的信息,可以找到函数的名称、虚拟地址和导出序号,从而实现...
PE导出查看器-易语言
06-11
4. **导出目录(Export Directory)**:这是一个结构体,包含了导出的起始地址、大小等信息,是解析导出的入口。 易语言是一种中国本土开发的编程语言,它以中文编程为特色,适合初学者和专业开发者。在这个...
PE结构->【导出】工具包
06-22
本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address Table, EAT)**:这是导出的核心,记录了导出函数的实际地址。EAT由一系列导出函数项组成,每个函数...
PE导出查看器(易语言版本)-易语言
06-11
这个源码没记错的话是去年9月份写的,当时本来是打算写一个功能齐全一点的PE工具,例如解析导入导出、重定位及节等功能,后来只写了一个解析导出就放弃了,为什么呢,主要是因为声明结构体比较烦,是一个体力活,所以后面转用VS开发这款工具去了,毕竟头文件里都将结构体定义好了,省事,现在把这个 易语言 版本的解析导出代码开源。 它可以解析导出里正常导出的函数,还能解析导出里的中转函数,见下图: 写这个工具的过程中发现PEID解析导出有点问题,见下图 注意这个图里3个红框里的内容,第一个是LORDPE解析的,中间是我自己写的代码解析的,最右边是PEID解析的,可以发现PEID解析导出时只能正常解析以符号名导出的函数,一旦遇到以序号导出的函数就会导致错位,图中user32.dll导出的前两个函数是以序号0x5DC和0x5DD导出的并没有导出函数名,而PEID不能正常解析,LORDPE、STUDYPE还有我自己写的代码都能正常解析,至于为什么导出序号那里,我的是从0开始的,而LORDPE和STUDYPE是以0x5DC开始的,那是因为我没有加上序号基数,中间那个蓝色箭头指向就是基数,函数真正的导出序号是要加上这个基数的,只不过我习惯这样达而已。另外开源前特意把里面变量的名字改成了一看就明白的意思,所以看起来有点奇怪。
PE导出分析
istream1的博客
12-06 379
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
23. PE结构-PE详解之输出导出
墨痕诉清风的博客
03-05 3474
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
[转载]解析PE结构之-----导出
m0_37442062的博客
12-07 333
PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。 我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。通过我先前文章手写的Hello World程序可以看出,要使用任...
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 320
笔记:PE结构(6)导出解析
PE解析导出--代码
跃然实验室
06-10 476
//导出信息 typedef struct _EXPORT_INFO { char cDllName[256]; //用于保存DLL库名 pFuncInfo pFunctionInfo; //指向FUNC_INFO结构体数组,用于保存若干个函数信息 long lFuncNum...
逆向——PE导出分析及应用
young的博客
03-22 1696
逆向——PE导出分析及应用 文章目录逆向——PE导出分析及应用前言一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件的导出结构,分析导出函数VA的获取过程,得出导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
PE文件格式全面解析
例如,PEFILE.DLL提供了接口,可以方便地提取和分析PE文件的各个部分,如获取导出函数、解析导入、检查节属性等。通过这样的工具,开发者或安全研究人员可以更深入地了解程序的行为和依赖关系。 在实际应用中,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值