PE --导出表

最新推荐文章于 2021-12-22 10:17:37 发布
最新推荐文章于 2021-12-22 10:17:37 发布
阅读量250 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31694351/article/details/51463782
版权

导出表
关于导出表的遍历
1、序号表是函数名称表到函数地址表的一个中转,也就是说,必须通过序号才能找到对应的函数的地址
2、比如 需要找的函数是 “function7” 它位于名字表的第4项,所以要去序号表中的第4项找这个函数的函数序号,找到为0006h ..然后再加上BASE。所得到的值,就作为函数地址表中的索引,然后就可以找到对应函数的地址了

////////////////////根据名字查找函数地址////////////////
DWORD _GetApi(LPVOID pFileBuffer,LPSTR ApiName)
{
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNtHeaders = NULL;

    PIMAGE_EXPORT_DIRECTORY pExportDirectory=NULL;
    LPSTR DllName=NULL;
    PDWORD AddrOfFunction,AddrofNames;
    PWORD AddrofNameOrd;

    DWORD dwOrd=0;
    DWORD dwRVA=0;
    LPSTR pName=NULL;

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
    {
        printf("not a mz header!\n");
        return 0;
    }
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
    if (pNtHeaders->Signature != IMAGE_NT_SIGNATURE)
    {
        printf("not a PE header!\n");
        return 0;
    }

    //导出表的位置
    pExportDirectory=(PIMAGE_EXPORT_DIRECTORY)((DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,pNtHeaders->OptionalHeader.DataDirectory[0].VirtualAddress));

    //遍历导出表
    DllName=(LPSTR)((DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,pExportDirectory->Name));
    AddrOfFunction=(PDWORD)((DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,pExportDirectory->AddressOfFunctions));
    AddrofNames=(PDWORD)((DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,pExportDirectory->AddressOfNames));
    AddrofNameOrd=(PWORD)((DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,pExportDirectory->AddressOfNameOrdinals));

    printf("///%s//\n",DllName);
    printf("characteristics: %x\n",pExportDirectory->Characteristics);
    printf("TimeDateStamp: %x\n",pExportDirectory->TimeDateStamp);
    printf("majorVersion: %ud\n",pExportDirectory->MajorVersion);
    printf("minorVersion: %ud\n",pExportDirectory->MinorVersion);
    printf("name: %s\n",DllName);
    printf("base: %x\n",pExportDirectory->Base);
    printf("NumberofFunctions: %x\n",pExportDirectory->NumberOfFunctions);
    printf("NumberofNames: %x\n",pExportDirectory->NumberOfNames);
    printf("AddressOfFunctions: %x\n",pExportDirectory->AddressOfFunctions);
    printf("AddressOfNames: %x\n",pExportDirectory->AddressOfNames);
    printf("AddressOfNameOrdinals: %x\n",pExportDirectory->AddressOfNameOrdinals);

    printf("\n");
    printf("ord           RVA             NAME\n");
    printf("---------------------------------------\n");

    for(int i=0;i<pExportDirectory->NumberOfNames;i++)
    {
        //序号
        dwOrd=*AddrofNameOrd+pExportDirectory->Base;
        //函数名
        pName=(LPSTR)((DWORD)pFileBuffer+_RVAToOffset(pFileBuffer,*AddrofNames));
        //函数的RVA
        dwRVA=*AddrOfFunction;
        printf("%x        %x               %s\n",dwOrd,dwRVA,pName);
        /////查找指定的API////////
        if(strcmp(pName,ApiName)==0)
        {
            printf("API.ADDR=%x\n",pNtHeaders->OptionalHeader.ImageBase+dwRVA);
            return pNtHeaders->OptionalHeader.ImageBase+dwRVA;
        }
        AddrofNameOrd++;
        AddrofNames++;
        AddrOfFunction++;

    }

    return 0;
}
qq_31694351
关注
专栏目录
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
pe导出pe导出pe导出pe导出pe导出pe导出
PE-导出
megaparsec
12-19 870
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
PE文件-导出
weixin_45012273的博客
11-08 1373
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
PE文件解析--导出
qq_31125257的博客
12-22 1352
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
[转载]解析PE结构之-----导出
m0_37442062的博客
12-07 321
PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。 我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。通过我先前文章手写的Hello World程序可以看出,要使用任...
PE结构->【导出】工具包
06-22
PE结构 导出工具包
pe-parse:原理轻巧的CC ++ PE解析器
05-12
pe-parse pe-parse是用于Windows可移植可执行文件的有原则的轻量级解析器。 创建该文件是为了帮助您进行编译后的程序分析,可能是未知来源程序的分析。 这意味着它应该能够抵抗格式错误或恶意制作的PE文件,并且...
PE基础学习-手动查询导出练习DLL
10-12
由浅入深PE基础学习-菜鸟手动查询导出、相对虚拟地址(RVA)与文件偏移地址转换(FOA)
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件的导出进行增、删、改的操作,现在它还可以用于给没有导出的文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
Python优秀项目 基于Flask+Markdown实现的生成app官方网站源码+部署文档+数据资料.zip
05-25
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 Python优秀项目 基于Flask+Markdown实现的生成app官方网站源码+部署文档+数据资料.zip 1、代码压缩包内容 代码的项目文件 部署文档文件 2、代码运行版本 python3.7或者3.7以上的版本;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细) 3、运行操作步骤 步骤一:将代码的项目目录使用IDEA打开(IDEA要配置好python环境) 步骤二:根据部署文档或运行提示安装项目所需的库 步骤三:IDEA点击运行,等待程序服务启动完成 4、python资讯 如需要其他python项目的定制服务,可后台私信博主(注明你的项目需求) 4.1 python或人工智能项目辅导 4.2 python或人工智能程序定制 4.3 python科研合作 Django、Flask、Pytorch、Scrapy、PyQt、爬虫、可视化、大数据、推荐系统、人工智能、大模型
用Go编写的Express启发web框架.zip
05-25
用Go编写的Express启发web框架
QJ 3173-2003 航天电子电气产品再流焊接技术要求.rar
最新发布
05-25
QJ 3173-2003 航天电子电气产品再流焊接技术要求.rar
电工杯电工杯电工杯电工杯.txt
05-25
电工杯电工杯电工杯电工杯电工杯
练习和解决方案从书知道Go泛型.zip
05-25
练习和解决方案从书知道Go泛型
转义字符知识点习题及参考答案
05-25
转义字符知识点习题及参考答案
Python优秀项目 基于Flask实现的线上刷题系统源码+部署文档+数据资料.zip
05-25
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 Python优秀项目 基于Flask实现的线上刷题系统源码+部署文档+数据资料.zip 1、代码压缩包内容 代码的项目文件 部署文档文件 2、代码运行版本 python3.7或者3.7以上的版本;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细) 3、运行操作步骤 步骤一:将代码的项目目录使用IDEA打开(IDEA要配置好python环境) 步骤二:根据部署文档或运行提示安装项目所需的库 步骤三:IDEA点击运行,等待程序服务启动完成 4、python资讯 如需要其他python项目的定制服务,可后台私信博主(注明你的项目需求) 4.1 python或人工智能项目辅导 4.2 python或人工智能程序定制 4.3 python科研合作 Django、Flask、Pytorch、Scrapy、PyQt、爬虫、可视化、大数据、推荐系统、人工智能、大模型
营养师阿悦分享.pdf
05-25
营养师阿悦分享
ipython-0.11.zip
05-25
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
实验7 pe导出分析及应用
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值