手工解析PE(导出表的使用)

已于 2022-06-22 00:35:58 修改
阅读量300 收藏 2
点赞数
分类专栏: PE文件结构 文章标签: c语言
于 2022-06-22 00:34:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34479012/article/details/125401232
版权

手工解析PE(导出表)_GNAIXGNAHZ的博客-CSDN博客上一节讲了如何解析导出表的结构,最终结果就是要解析出导出表的三个地址:名称表地址、序号表地址、函数表地址,有了这三张表 我们才可以进一步使用导出表,找到我们想要的函数地址

名称表中存放的是名称的地址,所以我们找到名称表时,不能直接用里面的值,需要解引用得到的才是函数名称

序号表中存放的是导出函数的序号,但是并不是真正的序号,表值+base 才是真正导出序号,所以我们在使用时,找到序号表的值后还需要加base才可以

函数表中存放的是导出函数的地址,这个地址是内存中的地址,只要我们清楚函数表中第几个是我们要的函数,就可以取到对应的地址

名称表、序号表、函数表 都可以通过解析导出表结构得到:

步骤

有了这三张表,我们

首先要遍历名称表,找到我们需要的函数和其所在名称表的名称下标,

然后根据名称下标 = 序号表的下标 找到序号表下标所对应的序号

最后根据序号表中的序号 = 函数表下标 找到函数表中的函数地址

注意以上提到的地址全是内存地址,在使用时转化为文件地址更方便我们操作

代码如下

#include <stdio.h>
#include <malloc.h>
#include <string.h>
#include "mycode.h"

int main()
{
	char* sourcefile="D:\\CODE\\DLL\\TestDll.dll";
	//char* sourcefile="D:\\CODE\\DEMO\\004\\Debug\\004.dll";
	char* ptr=read_file_to_file_buffer(sourcefile);
	
	PE filePE;
	set_pe(ptr,&filePE);
	printf("导出表地址:%x \n",*filePE.pdirectory_entry_export_virtualaddress);
	int FOA=0x99999999;
	int i=0;
	for( i;i<16;i++ )
	{
		FOA=trans_RVA_to_FOA(*filePE.DIR[i].pvirtualaddress,sourcefile);
		printf("第%d个表:\n",i+1);
		printf("RVA地址:%x\t\t",*filePE.DIR[i].pvirtualaddress);
		printf("FOA地址:%x\t\t",FOA);
		printf("大小:%x\n",*filePE.DIR[i].psize);
	
	}
	//地址表 地址
	char* addressoffunctions = ptr + *filePE.addressoffunctions;	//每次移动4字节
	char* addressofordianls = ptr + *filePE.addressofnameordinals;	//每次移动2字节
	char* addressofnames = ptr + *filePE.addressofnames;			//每次移动4字节

	//[地址][名称数组下标][名称地址]
	int funs_index;			//[函数数组下标]
	int ordi_index;			//[序号数组下标]
	int name_index;			//[名称数组下标]

	int funs_value_rva;		//[函数地址]
	int ordi_value_rva;		//[序号值]
	int name_value_rva;		//[名称地址]

	int funs_value_foa;		//rva对应的foa
	int ordi_value_foa;		//rva对应的foa
	int name_value_foa;		//rva对应的foa

	//遍历名称地址表
	//遍历序号地址表
	//遍历函数地址表


	//遍历名称地址表
	printf("\n名称列表:\n");
	int name_length=0;
	for( name_index=0;name_index < *filePE.numberofnames;name_index++)
	{
		name_value_rva = *((int*)addressofnames+name_index);				//名称表里 存的是名字的地址 想得到名字 需要加*	 [地址][名称数组下标][名称地址]
		name_value_foa = trans_RVA_to_FOA(name_value_rva,sourcefile);
		printf("\n 名称地址name_value_rva : %p\t 名称地址name_value_foa : %p\  ",name_value_rva,name_value_foa ); 
		//计算名称长度  直到0x00结尾 名称结束
		name_length=0;
		for(i=0;*(ptr + name_value_foa + i +1) != 0x00;i++)
		{
			name_length++;
		}
		//打印名称
		printf("函数名称:[%d]",name_index); 
		for(i=0;i<=name_length+1;i++)
		{
			printf("%c",*(ptr + name_value_foa + i -1)); 
		}
	}

	//遍历序号地址表
	printf("\n\n序号列表:\n\n");
	for( ordi_index=0;ordi_index < *filePE.numberofnames;ordi_index++)
	{
		ordi_value_rva = *((short*)addressofordianls + ordi_index);
		printf("[%d]:%d \n",ordi_index,ordi_value_rva);
	}

	//遍历函数地址表
	printf("\n函数列表:\n");
	for( funs_index=0;funs_index < *filePE.numberoffunctions;funs_index++)
	{
		funs_value_rva = *((int*)addressoffunctions + funs_index);
		funs_value_foa =  trans_RVA_to_FOA(funs_value_rva,sourcefile);
		printf("\n [%d] 函数地址funs_value_rva : %p\t 函数地址funs_value_foa : %p  ",funs_index,funs_value_rva,funs_value_foa );  
	}

	//根据名称查找函数地址
	char* findname="Mul";
	//根据序号查找函数地址
	int findno=1;

	//printf("\n\n当前查找函数: %s  长度  %d \n",findname,strlen(findname));
	//strcmp(char *a, char *b);

	//1.根据名称 在名称表 找到序号表的下标
	int findnameresultno=0;
	for( name_index=0;name_index < *filePE.numberofnames;name_index++)
	{
		name_value_rva = *((int*)addressofnames+name_index);				//名称表里 存的是名字的地址 想得到名字 需要加*	 [地址][名称数组下标][名称地址]
		name_value_foa = trans_RVA_to_FOA(name_value_rva,sourcefile);
		printf("\n 名称地址name_value_rva : %p\t 名称地址name_value_foa : %p\  ",name_value_rva,name_value_foa ); 
		//计算名称长度  直到0x00结尾 名称结束
		name_length=0;
		for(i=0;*(ptr + name_value_foa + i +1) != 0x00;i++)
		{
			name_length++;
		}
		//打印名称
		printf("函数名称:[%d]",name_index); 
		for(i=0;i<=name_length+1;i++)
		{
			printf("%c",*(ptr + name_value_foa + i -1)); 
		}
		//判断是否相对
		
		if( memcmp(findname,ptr + name_value_foa,name_length + 2) == 0  ) //加2 是为了到达 0x00的长度
		{
			findnameresultno=name_index;
			//printf("\n\t find result oridinal下标: %d \n",findnameresultno);
		}
	}

	//2.根据序号表的下标 在序号表 找到函数表的下标
	int findordiresultno;
	for( ordi_index=0;ordi_index < *filePE.numberofnames;ordi_index++)
	{
		if( ordi_index == findnameresultno)
		{
			ordi_value_rva = *((short*)addressofordianls + ordi_index);
			findordiresultno=ordi_value_rva;
			//printf("\t \nfind result 序号: %d \n",findordiresultno + *filePE.base); //序号 = base + 表值
			//printf("\t \nfind result 函数下标: %d \n",findordiresultno);
		}
	}

	//3.根据函数表的下标 在函数表 找到函数的地址
	int findfunresultaddr;
	for( funs_index=0;funs_index < *filePE.numberoffunctions;funs_index++)
	{
		if( funs_index == findordiresultno )
		{
			funs_value_rva = *((int*)addressoffunctions + funs_index);
			funs_value_foa =  trans_RVA_to_FOA(funs_value_rva,sourcefile);
			findfunresultaddr = funs_value_foa;
			//printf("\t find result 函数地址RVA: %x \n",funs_value_rva);
			//printf("\t find result 函数地址FOA: %x \n",funs_value_foa);
		}
	}

	printf("\n\n当前查找函数: %s  长度  %d \n",findname,strlen(findname));
	printf("\t find result oridinal下标: %d \n",findnameresultno);
	printf("\t find result 序号: %d \n",findordiresultno + *filePE.base); //序号 = base + 表值
	printf("\t find result 函数下标: %d \n",findordiresultno);
	printf("\t find result 函数地址RVA: %x \n",funs_value_rva);
	printf("\t find result 函数地址FOA: %x \n",funs_value_foa);

	return 0;
}

运行结果如下,可以把三张表的内容全都遍历出来,最终结果与PE工具对比一致

GNAIXGNAHZ
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 303
笔记:PE结构(6)导出解析
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
最新发布
08-21
1. **动态链接**:Windows API的使用依赖于PE导出,应用程序通过导出找到并调用所需函数。 2. **调试与分析**:逆向工程师在分析恶意软件或优化程序时,会深入研究PE导出以了解其行为。 3. **插件开发**:某些...
手工解析PE(导出)
GNAIXGNAHZ的博客
06-19 245
手工解析PE(导出)
PE 导出
不会写代码的丝丽
04-09 649
名称寻址 我们下window经常导出函数,因此在动态库我们往往有一个特殊结构叫做导出。 Microsoft官方文档说明 我们首先看一个导出模块信息 #export.def EXPORTS MsgBox Foo TestFunc ABCDFunc 上面我们导出四个函数且是名称导出 我们的导出地址位于NT头中数据目录的第一项。 这个导出目录的位于虚拟地址的2060h处 换算成文件地址为660h 相关的数据结构 对应上面的数值我们得出以下数据 Field Value 备注 E
【转载】遍历pe导出
weixin_30830327的博客
06-16 138
optional头的最后一个域是一个数组列,该数组大小为16,元素为IMAGE_DATA_DIRECTORY,至于以后平台是否会增加,说不清楚,但是FileHeader中明确给出了该数组的大小。该数组的第一个元素就是指向输出的。而输出的定义如下:typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; D...
补:PE文件遍历导出——有人为你哭,说明你还是个东西
sxr__nc的博客
04-16 580
之前一直要写的遍历导出,一直没写,最近回去复习了一下PE结构关于IAT和EAT的内容,写了个遍历导出的程序,也算是结了之前文章里说的话吧。 源码: // ExportTable.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include<windows.h> using namespace s...
VC 解析PE导出 导入
01-16
此外,可以使用如`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`和`IMAGE_EXPORT_DIRECTORY`等结构体来解析PE文件的导出。 **导入**则是PE文件中另一个重要部分,它记录了该文件依赖于哪些其他模块(如DLL),以及...
PE导出查看器-易语言
06-11
PE导出查看器-易语言》是针对PE(Portable Executable)文件格式中导出解析的一个高级教程源码。PE文件格式是Windows操作系统中用于执行程序的标准格式,而导出则是PE文件中一个重要的组成部分,主要用于...
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于更多的用途还等你来发现了。 这个程序为学习PE结构的产品,如果时间精力允许我会继续更新。 如果你有什么...
PE解析 DLL导出
07-05
"PE解析 DLL导出"这个主题涉及到对PE文件结构的理解,以及如何从DLL中获取和使用导出函数。 首先,让我们了解PE文件结构。PE文件由多个部分组成,包括DOS头、NT头、节导出等。DOS头是一个小型的MS-DOS兼容...
遍历导出
IDoubleTong的博客
02-28 688
1.通过DOS头部找到PE头部 &amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;DOS头部的数据结构如下: _IMAGE_DOS_HEADER +0x000 e_magic : Uint2B +0x002 e_cblp : Uint2B +0x004 e_cp : Uint2B +0x006 e_crlc
PE导出C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 779
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
PE文件解析--导出
qq_31125257的博客
12-22 1375
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
11.PE文件之导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5302
目录 导出定位以及解析(手动) 代码定位导出打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
打印 PE导入导出
weixin_33766168的博客
04-17 765
#include<Windows.h> #include<iostream> #include<stdio.h> #include<stdlib.h> #include<commdlg.h> using namespace std; DWORD dwFileSize; BYTE* g_pFileImageBase = 0; PIMAGE...
PE导出
qq_41490873的博客
12-15 187
导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD Name; //指向该导出文件名 (RVA) DWORD Base;//导出的起始序号 (序号的......
pe结构分析-解析导出(一)
freshfox的博客
09-29 332
导出函数地址查询规则: 1. 按照名称查找: 先找到名称, 然后对应同一索引的 AddressOfNameOrdinals 中的记录 id , 那这个id 做索引查询AddressOfFunctions 即可。 2. 按照 序号 查找: 序号- base 做为 AddressOfFunctions 即可。 几点说明: 1. base 是序号开始的值。 2. ...
逆向——PE导出分析及应用
young的博客
03-22 1534
逆向——PE导出分析及应用 文章目录逆向——PE导出分析及应用前言一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件的导出结构,分析导出函数VA的获取过程,得出导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
实验7 pe导出分析及应用
06-08
在实验7中,我们可以通过使用工具如PEview、PE Explorer等对PE文件的导出进行分析,了解其中包含的函数和变量信息。同时,我们还可以使用工具如DLL Export Viewer、Dependency Walker等来查看DLL文件的导出信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值