PE文件解析--导出表

最新推荐文章于 2022-12-22 21:42:12 发布
最新推荐文章于 2022-12-22 21:42:12 发布
阅读量1.3k 收藏 10
点赞数
分类专栏: 底层逆向学习 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31125257/article/details/122050780
版权

1、定位导出表
可选pe头中的最后一个字段:数据目录项

typedef struct _IMAGE_DATA_DIRECTORY {                
    DWORD   VirtualAddress;                
    DWORD   Size;                
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。

上面 VirtualAddress 字段 作为 RVA, 需转换成 FOA 然后加上 我们以文件方式打开的 pFileBuffer ,才能定位到真正的 导出表。(这种 RVA 寻址前面也用到不少了,应该很熟悉了)

下文及以后在数据目录表中出现的所有地址,全都为 RVA
在这里插入图片描述
2、真正的导出表结构(滴水三期课件)
在这里插入图片描述

  • 其中 最左的 AddressOfFunctions 就是记录了前面动态库用到的 每个导出函数 的
    所在地址,但仍然是RVA,找到这个绝对地址就能调用到函数。因为是地址,所以表宽为4字节,表项数为 NumberOfFunctions
  • 最右的 AddressOfNames 表 记录了 导出函数名字的 RVA ,需要将该 RVA
    转换成绝对地址(先转FOA在加上当前FileBuffer基址)才能找到真正的函数名的字符串。即前面动态库被名称粉碎或没有粉碎的名字,就存在这个RVA 指向的地方。具体如下图:
    在这里插入图片描述
  • 要注意:函数的真正的名字在文件中如上图所示,位置是不确定的。但函数名称表中是按名字排序的,即A开头的函数在AddressOfNames 排在最前面。但AXX这个名字字符串的位置,可能排在BXX后面.
    动态库中提到 可以导出无名字函数,如果无名字那就不会存在名称表中,即不包括在 NumberOfNames 里,名称表不会存它的数据也不会有位置给它。
  • 中间的序号表 AddressOfNameOrdinals ,表项宽度为2字节;该表中存储的内容 + Base =
    函数的导出序号;Base 即是 导出表_IMAGE_EXPORT_DIRECTORY 结构体中的一个字段。记录了导出函数起始序号。

如何根据函数名获取到函数地址?(这些事都是操作系统做的事,当然我们懂了原理即可以绕开操作系统自己做)

见下图,遍历名称表内的字符串,逐一匹配,比如匹配到下标为 2 的名称,则同样取下标为 2 的序号表元素。该元素是4,则直接以4为下标,取出函数地址表中的函数地址。(注意这全部的操作都和 base 字段无关!全部都只是以这三个表记录内容来操作)
在这里插入图片描述
3、问题总结
1)为什么要分成3张表?
函数导出的个数与函数名的个数未必一样(存在不以名字导出的函数),所以要把函数地址表和函数名称表分开;
2)函数地址表是不是一定大于函数名称表?
未必,一个相同的函数地址可能有多个名字;
3)如何根据函数名字获取一个函数的地址?
定位到函数名称表 --》循环对比,并记录对应的序号 --》找到后根据第二步记录的序号,遍历序号表 --》根据序号表对应的值,取地址表中对应的函数地址;
在这里插入图片描述
4)如何根据函数的导出序号获取一个函数的地址?
已知序号减去Base,然后查询函数地址表即可获得;
在这里插入图片描述
4、代码实现:

  • 遍历导出表
void ExportTablePrint(PVOID pFileBuffer)
{
	//指针定义:pDos,pNT
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDos->e_lfanew);
	//定位导出表:
	PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)(
	(DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pNT->OptionalHeader.DataDirectory[0].VirtualAddress)
	);//pNT->OptionalHeader.DataDirectory
	//定位地址表,名称表,序号表,每打印一个函数名,要连同他的序号和地址都打印出来
	DWORD* addrFunctions = (DWORD*)(
	(DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pExportDir->AddressOfFunctions)
	);
	DWORD* addrNames = (DWORD*)((DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pExportDir->AddressOfNames));
	WORD* addrOrdinals = (WORD*)((DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pExportDir->AddressOfNameOrdinals));

	cout << "\n********输出函数序号表的值********" << endl;
	for (int i = 0; i < pExportDir->NumberOfFunctions; i++)
	{
		printf("\t%04x\n", addrOrdinals[i]);
	}
	cout << "\n**********输出函数名称表************\n" << endl;
	for (int i = 0; i < pExportDir->NumberOfNames; i++)
	{
		printf("\t%s\n", (DWORD)pFileBuffer + RvaToFoa(pFileBuffer, addrNames[i]));
	}
	cout << "\n**********输出函数地址表************\n" << endl;
	for (int i = 0; i < pExportDir->NumberOfFunctions; i++)
	{
		printf("\t%08x\n", addrFunctions[i]);
	}

	cout << "\n**********序号表-地址表-名称表************\n" << endl;
	DWORD i = 0;
	for (; i < pExportDir->NumberOfFunctions; i++)
	{
		DWORD j = 0;
		if (addrFunctions[i] == 0)//这里跳过了地址为0的函数
			continue;
		//i每增加1都要遍历NumberOfNames长度找到序号表中的对应的值,此时序号表的值仅仅是为了验证地址表中的序号是否在序号表中有位置
		for (; j < pExportDir->NumberOfNames; j++)//内循环从序号表中找到等于地址表第i个函数的序号的值
		{
			if (addrOrdinals[j] == i)
			{//找到了序号表中等于地址表序号的值
				printf("\t%04x\t%08x\t%s\n", i, addrFunctions[i], (DWORD)pFileBuffer + RvaToFoa(pFileBuffer, addrNames[j]));
				break;
			}
		}
	}
}
  • 根据函数名找到导出表中对应的函数地址
//**************************************************************************								
//GetFunctionAddrByName:根据名字找到导出表中的函数地址			
//参数说明:								
//pFileBuffer:FileBuffer指针						
//str: 函数名指针	
//AddressOfNamesFOA:名称表的文件偏移	
//nameFoa:名称表的值--具体函数名的RVA			
//返回值说明:								
//返回导出表中的函数地址								
//**************************************************************************	
PVOID GetFunctionAddrByName(PVOID pFileBuffer, char str[])
{
	PIMAGE_DOS_HEADER pDOS = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDOS->e_lfanew);
	PIMAGE_FILE_HEADER pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNT + 4);
	PIMAGE_OPTIONAL_HEADER pOptional = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_EXPORT_DIRECTORY pExportFunctionTable = (PIMAGE_EXPORT_DIRECTORY)(
		(DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pNT->OptionalHeader.DataDirectory[0].VirtualAddress)
		);

	DWORD AddressOfNamesFOA = RvaToFoa(pFileBuffer, pExportFunctionTable->AddressOfNames);//导出表的FOA
	DWORD nameFoa = 0;
	char* name = NULL;
	int i = 0;
	for (; i < pExportFunctionTable->NumberOfNames; i++)
	{	//名称表里面存储的是函数名的RVA,进行轮询比较
		nameFoa = RvaToFoa(pFileBuffer, *(PDWORD)((DWORD)pFileBuffer + AddressOfNamesFOA));
		name = (char*)((DWORD)pFileBuffer + nameFoa);
		if (!strcmp(str, name))
			break;
		AddressOfNamesFOA += 4;//地址表元素宽度为4,每加4跳到下一个地址
	}
	if (i == pExportFunctionTable->NumberOfNames)
	{
		printf("找不到名字为:%s的函数!\n", str);
		return 0;
	}
	/*
	以下操作意味着已经找到了对应的函数名,其中i记录的是名称表的第几个,
	再用i的值去序号表查询,最后用序号表的值寻到函数地址
	*/
	DWORD AddressOfNameOrdinalsFOA = RvaToFoa(pFileBuffer, pExportFunctionTable->AddressOfNameOrdinals);
	WORD ordinal = *(PWORD)((DWORD)pFileBuffer + AddressOfNameOrdinalsFOA + i * 2);
	printf("函数:%s 在名称表的位置:%d 在序号表的值:%d\n", str, i, ordinal);
	DWORD AddressOfFunctionsFOA = RvaToFoa(pFileBuffer, pExportFunctionTable->AddressOfFunctions);
	DWORD* AddressOfFunctions = (DWORD*)((DWORD)pFileBuffer + AddressOfFunctionsFOA);
	printf("函数%s的地址(rva)是%x\n", str, AddressOfFunctions[ordinal]);
	return (PVOID)*(PDWORD)((DWORD)pFileBuffer + AddressOfFunctionsFOA + ordinal * 4);
}
  • 通过导出序号找到函数地址
//GetFunctionAddrByOrdinals(pFileBuffer,函数名导出序号)
//**************************************************************************								
//GetFunctionAddrByOrdinals:根据序号找到导出表中的函数地址			
//参数说明:								
//pFileBuffer:FileBuffer指针						
//ord:函数序号		
//AddressOfNameOrdinalsFOA:序号表的文件偏移
// AddressOfFunctionsFOA:地址表的文件偏移
//返回值说明:								
//返回导出表中的函数地址								
//**************************************************************************	
PVOID GetFunctionAddressByOrdinals(PVOID pFileBuffer, WORD ord)
{
	PIMAGE_DOS_HEADER pDOS = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDOS->e_lfanew);
	PIMAGE_FILE_HEADER pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNT + 4);
	PIMAGE_OPTIONAL_HEADER pOptional = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_EXPORT_DIRECTORY pExportFunctionTable = (PIMAGE_EXPORT_DIRECTORY)(
		(DWORD)pFileBuffer + RvaToFoa(pFileBuffer, pNT->OptionalHeader.DataDirectory[0].VirtualAddress)
		);
	
	DWORD AddressOfNameOrdinalsFOA = NULL;
	DWORD AddressOfFunctionsFOA = NULL;
	

	//判断传入的序号是否在序号表的范围之内,不在则结束;在则继续往下走
	if (ord - pExportFunctionTable->Base >= pExportFunctionTable->NumberOfNames || ord - pExportFunctionTable->Base < 0)
	{	
		printf("找不到序号为%d的函数\n", ord);
		return 0;
	}
	//获得函数地址表的文件偏移
	AddressOfFunctionsFOA = RvaToFoa(pFileBuffer, pExportFunctionTable->AddressOfFunctions);
	printf("序号表Base:%d\n", pExportFunctionTable->Base);
	printf("导出序号为:%d的导出函数地址为%08x\n", ord, (PVOID) * (PDWORD)((DWORD)pFileBuffer + AddressOfFunctionsFOA + (ord - pExportFunctionTable->Base) * 4));
	return (PVOID) * (PDWORD)((DWORD)pFileBuffer + AddressOfFunctionsFOA + (ord - pExportFunctionTable->Base) * 4);
}
逮虾户肉丝
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE导出,C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 779
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1247
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE文件之移动导出(自学笔记)
Sanshul的博客
12-22 298
PE文件之移动导出(自学笔记)
手工解析PE(导出的使用)
GNAIXGNAHZ的博客
06-22 300
手工解析PE(导出的使用)
PE结构导出详细解析
huobengle
01-27 510
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
PE基础学习-手动查询导出练习DLL
10-12
3. **解析导出**:导出通常包含导出函数的名字、序号、地址等信息。通过导出的结构体,可以获取到这些信息。 4. **处理导出函数**:根据导出函数的信息,可以找到函数的名称、虚拟地址和导出序号,从而实现...
PE结构->【导出】工具包
06-22
本工具包专注于PE文件导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address Table, EAT)**:这是导出的核心,记录了导出函数的实际地址。EAT由一系列导出函数项组成,每个函数...
PE导出查看器-易语言
06-11
通过这个教程源码,你可以深入学习到如何在易语言中进行底层系统编程,掌握PE文件解析的技巧,这对于进行Windows系统编程、驱动开发或者逆向工程等领域的工作非常有帮助。同时,它也能帮助你提升对二进制文件结构的...
验证PE文件签名-易语言
06-12
1. **读取PE文件**:首先,你需要读取目标PE文件的内容,获取其头部信息,这包括文件的节区、导入导出等。 2. **获取签名信息**:解析PE文件的证书目录结构,找到签名块,通常位于PE文件的尾部。 3. **验证...
PE文件解析
12-01
**PE文件解析器** 在Windows操作系统中,可执行文件(如.exe和.dll)采用一种称为Portable Executable(PE)的文件格式。PE文件解析器是一种工具,它能够解析这些文件的内部结构,揭示其组成元素,这对于软件开发、...
VC 解析PE导出 导入
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出,导入
遍历PE文件头、扩展头、数据目录、区段信息
cyxvc
11-18 2927
遍历PE文件头、扩展头、数据目录、区段信息
PE解析导出
跃然实验室
06-10 225
PE文件文件——数据目录 导出目录位于数据目录的起始位置 指向的地址指向导入 1、函数名称字符串所在地址的RVA值 2、导出函数名对应的导出序号 3、导出序号对应的导出函数地址RVA值 解析导出步骤: 1、找到导出目录,通过导出目录定位导出文件偏移。 2、查看导出结构第七个成员(NumberOfFu...
PE格式解析-导出分析
走在成长的路上
12-25 1562
关于于PE文件导出的格式解析
PE文件结构-目录项结构
阿Q在行走
03-09 972
目录项结构 数据目录项位于可选PE头的最后一部分,向前四个字节说明了数据目录项的数量,而每个数据目录项的结构一致,分别包含RVA地址和数据项的大小。 IMAGE_DATA_DIRECTORY STRUCT { DWORD VirtualAddress ;数据的起始RVA DWORD isize ;数据块的长度 } 数据目录项通常共有16项,它们的详细说明如下: 英文描述 中文描述 ...
遍历导出
IDoubleTong的博客
02-28 688
1.通过DOS头部找到PE头部 &amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;DOS头部的数据结构如下: _IMAGE_DOS_HEADER +0x000 e_magic : Uint2B +0x002 e_cblp : Uint2B +0x004 e_cp : Uint2B +0x006 e_crlc
【转载】遍历pe导出
weixin_30830327的博客
06-16 138
optional头的最后一个域是一个数组列,该数组大小为16,元素为IMAGE_DATA_DIRECTORY,至于以后平台是否会增加,说不清楚,但是FileHeader中明确给出了该数组的大小。该数组的第一个元素就是指向输出的。而输出的定义如下:typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; D...
PE结构】5.导入
SMOne
06-25 1923
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
零基础逆向工程21_PE结构05_数据目录_导出
weixin_30378311的博客
10-04 89
数据目录 1、我们所了解的PE分为头和节,在每个节中,都包含了我们写的一些代码和数据,但还有一些非常重要 的信息是编译器替我们加到PE文件中的,这些信息可能存在在任何可以利用的地方。 2、这些信息之所以重要,是因为这些信息包含了诸如: PE程序的图...
vc编写pe文件解析工具
最新发布
08-29
VC编写PE文件解析工具是一项非常有挑战性的任务,需要深入理解Windows操作系统以及PE文件格式的结构和内容。 首先,我们需要使用VC编写一个能够读取二进制文件的程序。通过使用WinAPI中的相关函数,我们可以打开并读取PE文件的内容。 接下来,我们需要解析PE文件的头部信息。PE文件的头部包含了一些关键信息,例如文件类型、节、导入导出等。通过读取并解析这些信息,我们可以获取到PE文件的一些基本属性和区段信息。 在解析PE文件的过程中,我们还需要处理可选头部信息,如DLL特性、数据目录等。这些信息对于理解和使用PE文件是非常重要的。 此外,我们还需要处理节信息。PE文件的节记录了PE文件中的各个区段,如代码段、数据段等。通过解析,我们可以获取到更加详细的关于各个区段的信息。 最后,我们可以结合以上解析的内容,提供一些实用的功能。例如,我们可以通过解析导入,查找和打印出PE文件中使用的外部函数和库文件;我们还可以通过解析导出,获取到PE文件中自身的导出函数等。 总的来说,VC编写PE文件解析工具需要通过对PE文件结构和内容的深入理解,使用相关函数和库来实现对PE文件的读取和解析。这样就可以开发一个功能丰富、实用的PE文件解析工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值