PE_导出表

于 2022-09-25 15:24:44 发布
阅读量105 收藏
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/127038421
版权

具体流程参考:Revival_S

#include<stdio.h>
#include<windows.h>

DWORD Rva2Foa(PVOID pFileBuffer, DWORD dwRva);
DWORD Align(int add, int alignment);
DWORD printExportTable(PVOID pFileBuffer);
DWORD getFuncAddrByName(PVOID pFileBuffer, PSTR name);
DWORD getFuncAddrByOrdinal(PVOID pFileBuffer, DWORD ord);

DWORD toLoardPE(PVOID* pFileBuffer, PSTR file_path){
	FILE *fp;
	DWORD FileSize;
	PVOID pFileBufferTemp;

	fp = fopen(file_path, "rb");
	if(!fp){
		printf("读取文件失败!\n");
		return 0;
	}
	fseek(fp, 0, SEEK_END);
	FileSize = ftell(fp);
	fseek(fp, 0, SEEK_SET);
	
	pFileBufferTemp = malloc(FileSize);
	if(!pFileBufferTemp){
		printf("读取文件开辟内存失败\n");
		return 0;
	}

	DWORD n = fread(pFileBufferTemp, FileSize, 1, fp);

	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;
	fclose(fp);

	return FileSize;
}

DWORD Align(int add, int alignment){
	if(add % alignment == 0){
		return add;
	}
	return ((add / alignment) + 1) * alignment;
}

DWORD Rva2Foa(PVOID pFileBuffer, DWORD dwRva){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	if(!pFileBuffer){
		printf("从磁盘读取文件为空!\n");
		return 0;
	}

	if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE){
		printf("(Rva2Foa)没有MZ标志!\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	if(*(PDWORD)((DWORD)pDosHeader + pDosHeader->e_lfanew) != IMAGE_NT_SIGNATURE){
		printf("(Rva2Foa)没有PE标志!\n");
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	PIMAGE_SECTION_HEADER pNextSectionHeaderTemp = pSectionHeader + 1;


	if(dwRva <= pOptionHeader->SizeOfHeaders){
		return dwRva;
	}else{
		for(int n=1; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++, pNextSectionHeaderTemp++){
			if((dwRva >= pSectionHeaderTemp->VirtualAddress) && (dwRva < (pNextSectionHeaderTemp->VirtualAddress)))
				return dwRva - pSectionHeaderTemp->VirtualAddress + pSectionHeaderTemp->PointerToRawData;
		}
	}
	if (dwRva >= pSectionHeader->VirtualAddress && dwRva < pOptionHeader->SizeOfImage)
	{
		return pSectionHeader->PointerToRawData + dwRva - pSectionHeader->VirtualAddress;
	}
	printf("RVA TO FOA Failed!\n");

	return 0;
}

DWORD printExportTable(PVOID pFileBuffer){
	if(!pFileBuffer){
		printf("文件不存在!\n");
		return 0;
	}
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
	PIMAGE_EXPORT_DIRECTORY pExportDirectory = NULL;

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	printf("%x\n",pDosHeader->e_magic);
	if(pDosHeader->e_magic != IMAGE_DOS_SIGNATURE){
		printf("(printExportTable)没有MZ标志!\n");
		return 0;
	}

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
	if(pNTHeader->Signature != IMAGE_NT_SIGNATURE){
		printf("(printExportTable)没有PE标志!\n");
		return 0;
	}
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	pDataDirectory = (PIMAGE_DATA_DIRECTORY)pOptionHeader->DataDirectory;

	if(!pDataDirectory->VirtualAddress){
		printf("没有导出表!\n");
		return 0;
	}

	printf("导出表的RVA:%x\n", pDataDirectory->VirtualAddress);

	DWORD exportFoa = Rva2Foa(pFileBuffer, pDataDirectory->VirtualAddress);
	printf("导出表的FOA:%x\n", exportFoa);
	
	pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pFileBuffer + exportFoa);

	/*
	typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
*/
	printf("=================导出表=================\n");
	printf("Characteristics:%#x\n", pExportDirectory->Characteristics);
	printf("TimeDateStamp:%#x\n", pExportDirectory->TimeDateStamp);
	printf("MajorVersion:%#x\n", pExportDirectory->MajorVersion);
	printf("MinorVersion:%#x\n", pExportDirectory->MinorVersion);
	DWORD namefoa = Rva2Foa(pFileBuffer, pExportDirectory->Name);
	printf("Name:%s\n", (PVOID)((DWORD)pFileBuffer + namefoa));
	printf("Base:%#x\n", pExportDirectory->Base);
	printf("NumberOfFunctions:%#x\n", pExportDirectory->NumberOfFunctions);
	printf("NumberOfNames:%#x\n", pExportDirectory->NumberOfNames);
	printf("AddressOfFunctions(RVA):%#x\n", pExportDirectory->AddressOfFunctions);
	printf("AddressOfNames(RVA):%#x\n", pExportDirectory->AddressOfNames);
	printf("AddressOfNameOrdinals(RVA):%#x\n", pExportDirectory->AddressOfNameOrdinals);

	printf("=================导出函数地址表=================\n");
	DWORD addrFuncFoa = Rva2Foa(pFileBuffer, pExportDirectory->AddressOfFunctions);
	printf("函数地址表的FOA:%#x\n", addrFuncFoa);
	for(size_t i=0; i < pExportDirectory->NumberOfFunctions; i++){
		DWORD addrfunc = *(PDWORD)((DWORD)pFileBuffer + addrFuncFoa + i * 4);
		printf("下标:%#x 函数地址:%#x\n", i, addrfunc);
	}


	printf("=================导出函数名称表=================\n");
	DWORD nameFoa = Rva2Foa(pFileBuffer, pExportDirectory->AddressOfNames);
	printf("函数名称表的FOA:%#x\n", nameFoa);
	for(i=0; i < pExportDirectory->NumberOfNames; i++){
		DWORD funcName = Rva2Foa(pFileBuffer, *(PDWORD)((DWORD)pFileBuffer + nameFoa + i*4));
		PCHAR name = (PCHAR)((DWORD)pFileBuffer + funcName);
		printf("下标:%#x 函数名称:%s\n", i, name);
	}

	printf("=================导出函数序号表=================\n");
	DWORD ordinalNumberFoa = Rva2Foa(pFileBuffer, pExportDirectory->AddressOfNameOrdinals);
	printf("函数序号表的FOA:%#x\n", ordinalNumberFoa);
	for(i=0; i < pExportDirectory->NumberOfNames; i++){
		WORD funcOrdinal = *(PWORD)((DWORD)pFileBuffer + ordinalNumberFoa + i*2);
		printf("下标:%#x 函数序号:%#x\n",i, funcOrdinal);
	}
	return 0;

}

DWORD getFuncAddrByName(PVOID pFileBuffer, PSTR byname){

	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
	PIMAGE_EXPORT_DIRECTORY pExportDirectory = NULL;

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);

	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	pDataDirectory = (PIMAGE_DATA_DIRECTORY)pOptionHeader->DataDirectory;

	DWORD exportFoa = Rva2Foa(pFileBuffer, pDataDirectory->VirtualAddress);

	pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pFileBuffer + exportFoa);

	printf("=================函数名称查找函数地址=================\n");
	DWORD nameFoa = Rva2Foa(pFileBuffer, pExportDirectory->AddressOfNames);

	for(size_t i=0; i < pExportDirectory->NumberOfNames; i++){
		DWORD funcName = Rva2Foa(pFileBuffer, *(PWORD)((DWORD)pFileBuffer + nameFoa + i*4));
		PCHAR name = (PCHAR)((DWORD)pFileBuffer + funcName);
		if(!strcmp(byname, name)){
			printf("找到相同函数名称\n");
			break;
		}
	}
	if(i == pExportDirectory->NumberOfNames){
		printf("不存在该函数名称\n");
		return 0;
	}
	DWORD ordinalNumberFoa = Rva2Foa(pFileBuffer, pExportDirectory->AddressOfNameOrdinals);
	WORD funcOrdinal = *(PWORD)((DWORD)pFileBuffer + ordinalNumberFoa + i*2);

	DWORD addrFuncFoa = Rva2Foa(pFileBuffer, pExportDirectory->AddressOfFunctions);
	DWORD addrfunc = *(PDWORD)((DWORD)pFileBuffer + addrFuncFoa + funcOrdinal * 4);

	return addrfunc;
	

}
DWORD getFuncAddrByOrdinal(PVOID pFileBuffer, DWORD ord){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
	PIMAGE_EXPORT_DIRECTORY pExportDirectory = NULL;

	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);

	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	pDataDirectory = (PIMAGE_DATA_DIRECTORY)pOptionHeader->DataDirectory;


	DWORD exportFoa = Rva2Foa(pFileBuffer, pDataDirectory->VirtualAddress);
	
	pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pFileBuffer + exportFoa);
	
	printf("=================函数序号查找函数地址=================\n");
	if(ord - pExportDirectory->Base > pExportDirectory->NumberOfFunctions || ord - pExportDirectory->Base < 0){
		printf("找不到序号对应的函数地址\n");
		return 0;
	}
	DWORD funcAddrFoa = Rva2Foa(pFileBuffer, pExportDirectory->AddressOfFunctions);
	DWORD funcAddr = *(PDWORD)((DWORD)pFileBuffer + funcAddrFoa + (ord - pExportDirectory->Base) * 4);
	printf("%d\n",pExportDirectory->Base);
	return funcAddr;

}

int main(){

	PSTR file_path = "C:\\Users\\lolol\\Desktop\\11.dll";
	PSTR write_path = "";

	PVOID pFileBuffer = NULL;
	PVOID pImageBuffer = NULL;
	

	DWORD FileSize = toLoardPE(&pFileBuffer, file_path);
	//printf("%x\n",((char*)pFileBuffer)[0]);
	//printf("%x\n",pFileBuffer);
	printExportTable(pFileBuffer);

	DWORD addrfunc = getFuncAddrByName(pFileBuffer, "CreateFile2");
	printf("根据函数名查询结果:%x\n",addrfunc);

	DWORD funcAddrByord = getFuncAddrByOrdinal(pFileBuffer, 3);
	printf("根据序号查询结果:%x\n",funcAddrByord);

	return 0;
}
-Sw0rd-
关注
专栏目录
打印PE导出
Lazy
07-21 1057
#include #include #include int main() { void *pPEB=NULL; void *pPEB_LDR_DATA=NULL; void *pModuleList=NULL; void *pKernelBase=NULL; void *pPEHeader=NULL; void *pExportTable=NULL; void *pAddressO
PE导出
qq_41490873的博客
12-15 189
导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD Name; //指向该导出文件名 (RVA) DWORD Base;//导出的起始序号 (序号的......
PE文件:导出
weixin_43742894的博客
04-01 774
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
PE结构(一)导出
weixin_37673331的博客
02-27 337
导出结构 主要记三张对应关系即可其他结构参照pe结构图一目了然 AddressOfFunctions AddressOfNameOrdinals AddressOfNames 函数地址为准,可以理解为主索引 导出的ordinal+base才是真正的ordinal,图中红色部分ordinal为4,即函数地址中第5条 名字地址索引与ordinal索引一致,一对一。 上代码 # defin...
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
最新发布
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构。 PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
PE.rar_PE导入_pe_导入
09-24
分析PE,查看PE文件导出和导入
PE.rar_PE_
09-21
5. 导入和导出PE文件可能需要导入其他DLL中的函数,或者自身提供函数供其他模块使用。导入记录了所需的函数和库,导出则列出对外提供的函数和资源。 6. 资源:在PE文件中,可以包含各种资源,如图标、...
PE_Info.rar_PE加壳_pe_pe_info_pe文件_加壳
09-23
编译器信息可以从PE头中的某些字段获取,例如导出、调试信息等。不同的编译器可能会在生成的PE文件中留下独特的痕迹,这些痕迹可以作为识别加壳前原文件编译器的线索。 "加壳"标签明我们要讨论各种加壳技术,...
peinfo.rar_PE View_pe_peinfo
09-14
4. **导出Export Table)**:如果PE文件是DLL,它可能会有导出,列出对外提供的函数。PEINFO可以显示这些导出信息。 5. **资源(Resource Table)**:包含了GUI元素如图标(.ico)、字符串、位图等。"Main....
手工解析PE(导出)
GNAIXGNAHZ的博客
06-19 249
手工解析PE(导出)
【学习】Windows PE文件学习(一:导出
weixin_30905981的博客
08-16 272
  今天做了一个读取PE文件导出的小程序,用来学习。   参考了《Windows PE权威指南》一书。   首先,PE文件的全称是Portable Executable,可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件。   我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。要使用任何一个DLL所提供的函数,我们...
动态调用kernel任意函数(anycall)
李子的备忘录
10-18 1895
有的时候只需要简单调用下别的kernel函数 或者别的模块函数没有export,而你又不想单独编译kernel重新下载的时候 或者动态去修改某个驱动的寄存器值。 首先看下效果及使用步骤: 加入kernel ,更多时候是驱动中有以下函数: ssize_t justfortest0() { printk(KERN_ERR"[anycall] successful....just
找到原始的SSDT的内容
04-03 1183
DWORD GetOrgWindowsServiceTable() 1.Mb45.{  { qrMhg2k       CLocalFileIO LocalFileIO; zNMZVj       gpFileIO = &LocalFileIO; hYxh2Lp       CPEFile PEFile; &"#lrfhN/       DWORD NtKernelBase
KPCR
stonesharp的专栏
11-08 3868
由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存与线程切换相关的全局信息.  通常fs
驱动中获取PsActiveProcessHead变量地址的五种方法
weixin_33949359的博客
11-24 190
PsActiveProcessHead的定义: 在windows系统中,所有的活动进程都是连在一起的,构成一个双链头是全局变量PsActiveProcessHead,当一个进程被创建时,其ActiveProcessList域将被作为节点加入到此链中;当进程被删除时,则从此链中移除,如果windows需要枚举所有的进程,直接操纵此链即可。 方法一:从Kd...
PE文件结构详解(三)PE导出
热门推荐
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
打印 PE导入导出
weixin_33766168的博客
04-17 771
#include<Windows.h> #include<iostream> #include<stdio.h> #include<stdlib.h> #include<commdlg.h> using namespace std; DWORD dwFileSize; BYTE* g_pFileImageBase = 0; PIMAGE...
深入解析PE文件结构之导出获取
yiyefangzhou24的专栏
02-17 1万+
新学期新气象,一般是小学作文的开头,在此引用一下。 最近有时间坐下来仔细研究一下PE文件结构了,以前遇到这种问题时总是拆东墙补西墙。学的不够透彻。几天来一番研究之后,和大家分享一下。 PE的文件结构从DOS头开始,其主要作用就两个一个是若是在DOS环境下输出一句话。另一个作用就是找到PE文件头的位置,这是我们要关心的,本文只注重所要关心的问题——导出。和一些你再众多网上资料上很难找到的细节,
PE_PUL0和PE_DAT有啥区别
06-13
PE_PUL0代导出Export Table),该包含了可供其他模块调用的函数和数据的名称以及地址信息;而PE_DAT代数据目录(Data Directory),该记录了PE文件中其他各种数据结构的位置和大小信息,如导入、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值