PE导出表

已于 2023-02-11 14:55:45 修改
阅读量186 收藏
点赞数
分类专栏: PE结构 文章标签: PE
于 2018-12-15 19:50:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/85017211
版权

导出表位于数据目录表的第一个位置
导出表结构

typedef struct _IMAGE_EXPORT_DIRECTORY {
  +0x0   DWORD   Characteristics;   
  +0x4   DWORD   TimeDateStamp;  
  +0x8   WORD    MajorVersion;
  +0xa   WORD    MinorVersion;
  +0xc   DWORD   Name; //指向该导出表文件名	(RVA)
  +0x10  DWORD   Base;//导出表的起始序号 (序号表的最小序号)
  +0x14  DWORD   NumberOfFunctions;      // 所有导出函数的个数(序号的最大减去最小+1)
  +0x18  DWORD   NumberOfNames;          //以函数名导出的函数的个数  序号表的个数
  +0x1c  DWORD   AddressOfFunctions;     //导出函数的地址表偏移(RVA)
  +0x20  DWORD   AddressOfNames;         //函数名称表偏移(RVA)
  +0x24  DWORD   AddressOfNameOrdinals;  //函数序号表偏移(RVA)
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

在这里插入图片描述

测试DLL导出函数序号和名字

LIBRARY test
EXPORTS

add @15  
sub @11
mul @31
div1 @17

VOID PrintExportTable(PVOID pImageBuffer)
{
	DWORD dwAddressOfExportTable = 0;
	DWORD dwSizeOfExportTable = 0;
	//获取image_export_table 结构的数据

	PIMAGE_NT_HEADERS NtHeaders = (PIMAGE_NT_HEADERS)(((PIMAGE_DOS_HEADER)pImageBuffer)->e_lfanew + (ULONG_PTR)pImageBuffer);
	if (NtHeaders->OptionalHeader.Magic == 0x10b)
	{
		dwAddressOfExportTable = ((PIMAGE_OPTIONAL_HEADER32)(&NtHeaders->OptionalHeader))->DataDirectory[0].VirtualAddress;
		dwSizeOfExportTable = ((PIMAGE_OPTIONAL_HEADER32)(&NtHeaders->OptionalHeader))->DataDirectory[0].Size;
	}
	else
	{
		dwAddressOfExportTable = ((PIMAGE_OPTIONAL_HEADER64)(&NtHeaders->OptionalHeader))->DataDirectory[0].VirtualAddress;
		dwSizeOfExportTable = ((PIMAGE_OPTIONAL_HEADER64)(&NtHeaders->OptionalHeader))->DataDirectory[0].Size;
	}

	if (0 == dwAddressOfExportTable)
	{
		return;
	}

	PIMAGE_EXPORT_DIRECTORY pied = (PIMAGE_EXPORT_DIRECTORY)((char*)pImageBuffer + dwAddressOfExportTable);
	PULONG   AddressOfFunctions = (PULONG)((char*)pImageBuffer + pied->AddressOfFunctions);
	PULONG   AddressOfNames = (PULONG)((char*)pImageBuffer + pied->AddressOfNames);
	PUSHORT   AddressOfNameOrdinals = (PUSHORT)((char*)pImageBuffer + pied->AddressOfNameOrdinals);

	printf("DLL名字%s  导出Base:%d\n", (char*)(pied->Name +(ULONG64)pImageBuffer), pied->Base);
	
	/*
	在内存中的排列
		导出地址表 
		导出名字表
		导出序号表
		这三个表紧挨着  因此 遍历导出地址表可以AddressOfFunctions < AddressOfNames来判断边界
	*/
	//导出地址表
	int iIndex = 0;
	while (AddressOfFunctions < AddressOfNames)
	{
		if (*AddressOfFunctions)
		{
			printf("索引:%d  函数地址:0x%x\n", iIndex, *AddressOfFunctions);
		}
		AddressOfFunctions++;
		iIndex++;
	}
	printf("\n\n");
	//导出名字表  函数名字表是按照字母顺序排列的(可以二分法查找)
	for (size_t i = 0; i < pied->NumberOfNames; i++)
	{
		printf("导出函数名:%s\n", (char*)pImageBuffer + AddressOfNames[i]);
	}
	printf("\n\n");
	//导出序号表紧挨着的是 pied->Name  然后是函数名
	while (AddressOfNameOrdinals < pied->Name + (ULONG64)pImageBuffer)
	{
		//实际的序号值是减去了Base
		printf("序号表中序号:%d  真正的导出序号:%d\n", *AddressOfNameOrdinals ,*AddressOfNameOrdinals + pied->Base);
		AddressOfNameOrdinals++;
	}
}

打印的3张表如下
在这里插入图片描述

在这里插入图片描述

根据名字查找函数地址:

例如查找mul函数:
1:在名字表中对比,mul函数在名字表中的索引是2 (从0开始)
2:在序号表索引2找出函数索引,在这里是20
3:在地址表索引20的位置得到函数地址0xc7a0

根据序号找函数地址

例如查找序号15
1.序号减去base 得到4
2.对比序号表,第0项就是序号4
3.函数名就是名字表第0项 add
4.在地址表索引4找到函数地址0xc7c0

qq_857305819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件基础(不全还在补全) V1.0
dohxxx的博客
10-05 485
PE的基本概念 地址: PE中设计的地址有四类: 1.虚拟内存地址(VA): 用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA), 所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址 2,相对虚拟内存(...
打印PE导出
Lazy
07-21 1047
#include #include #include int main() { void *pPEB=NULL; void *pPEB_LDR_DATA=NULL; void *pModuleList=NULL; void *pKernelBase=NULL; void *pPEHeader=NULL; void *pExportTable=NULL; void *pAddressO
PE导出,C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 712
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
PE_导出
qq_42363151的博客
09-25 100
PE
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
最新发布
08-21
pe导出pe导出pe导出pe导出pe导出pe导出
PE导出查看器-易语言
06-11
19年9月份左右写的,直接上源码,只解析了PE结构里面的导出
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件的导出进行增、删、改的操作,现在它还可以用于给没有导出的文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
VC 解析PE导出 导入
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出,导入
PE导出查看器(易语言版本)-易语言
06-11
这个源码没记错的话是去年9月份写的,当时本来是打算写一个功能齐全一点的PE工具,例如解析导入导出、重定位及节等功能,后来只写了一个解析导出就放弃了,为什么呢,主要是因为声明结构体比较烦,是一...
PE文件:导出
weixin_43742894的博客
04-01 748
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
PE结构(一)导出
weixin_37673331的博客
02-27 320
导出结构 主要记三张对应关系即可其他结构参照pe结构图一目了然 AddressOfFunctions AddressOfNameOrdinals AddressOfNames 函数地址为准,可以理解为主索引 导出的ordinal+base才是真正的ordinal,图中红色部分ordinal为4,即函数地址中第5条 名字地址索引与ordinal索引一致,一对一。 上代码 # defin...
手工解析PE(导出)
GNAIXGNAHZ的博客
06-19 241
手工解析PE(导出)
【学习】Windows PE文件学习(一:导出
weixin_30905981的博客
08-16 262
  今天做了一个读取PE文件导出的小程序,用来学习。   参考了《Windows PE权威指南》一书。   首先,PE文件的全称是Portable Executable,可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件。   我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。要使用任何一个DLL所提供的函数,我们...
PE导出分析
istream1的博客
12-06 348
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
手工解析PE(导出的使用)
GNAIXGNAHZ的博客
06-22 297
手工解析PE(导出的使用)
打印 PE导入导出
weixin_33766168的博客
04-17 762
#include<Windows.h> #include<iostream> #include<stdio.h> #include<stdlib.h> #include<commdlg.h> using namespace std; DWORD dwFileSize; BYTE* g_pFileImageBase = 0; PIMAGE...
PE文件结构详解(三)PE导出
热门推荐
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
实验7 pe导出分析及应用
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值