滴水导出表

最新推荐文章于 2024-09-18 22:56:15 发布
最新推荐文章于 2024-09-18 22:56:15 发布
阅读量103 收藏
点赞数
文章标签: c语言 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52442096/article/details/128859329
版权
这篇文章详细介绍了如何解析PE文件,包括计算文件偏移地址(FOA)从相对虚拟地址(RVA),以及查找和获取DLL导出函数地址的方法。主要涉及了IMAGE_DOS_HEADER,IMAGE_NT_HEADERS等结构体,以及rvaTofoa函数的实现。
摘要由CSDN通过智能技术生成 
#include<iostream>
#include<malloc.h>
#include<Windows.h>
#include<tchar.h>
#include<string.h>
//#pragma comment(lib,"Dll3.lib")
#pragma warning(disable:4996)
//extern "C" _declspec(dllimport) int sum(int x, int y);
typedef int (*lpsum)(int, int);
using namespace std;
int filelen(FILE* pfile)
{
    fseek(pfile, 0, SEEK_END);
    int result = ftell(pfile);
    rewind(pfile);
    return result;
}
int Align(int x, int y)
{
    if (x % y == 0)
    {
        return int(x / y)*y;
    }
    else
    {
        return int(x / y)*y + y;
    }
}
int rvaTofoa(int rva, char* buffer)
{
    PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)(buffer);
    PIMAGE_NT_HEADERS pNTH = (PIMAGE_NT_HEADERS)(buffer + pDosH->e_lfanew);
    PIMAGE_FILE_HEADER pFH = (PIMAGE_FILE_HEADER)((char*)pNTH + 0x4);
    PIMAGE_OPTIONAL_HEADER pOH = (PIMAGE_OPTIONAL_HEADER)((char*)pFH + 0x14);
    int opHeaderLen = int(pFH->SizeOfOptionalHeader);
    PIMAGE_SECTION_HEADER pSecH = (PIMAGE_SECTION_HEADER)((char*)pOH + opHeaderLen);
    if (rva <= pOH->SizeOfHeaders)
    {
        return rva;
    }
    else
    {
        for (int i = 0; i < pFH->NumberOfSections; i++)
        {
            if ((rva > pSecH[i].VirtualAddress) &&( rva <  pSecH[i].VirtualAddress + pSecH[i].Misc.VirtualSize))
            {
                return rva - pSecH[i].VirtualAddress + pSecH[i].PointerToRawData;
            }
        }
    }
    printf(" rvaTofoa error\r\n");
    return 0;
}
/*
    typedef struct _IMAGE_EXPORT_DIRECTORY {
        DWORD   Characteristics;                // 未使用
        DWORD   TimeDateStamp;                // 时间戳
        WORD    MajorVersion;                // 未使用
        WORD    MinorVersion;                // 未使用
        DWORD   Name;                // 指向该导出表文件名字符串
        DWORD   Base;                // 导出函数起始序号
        DWORD   NumberOfFunctions;                // 所有导出函数的个数
        DWORD   NumberOfNames;                // 以函数名字导出的函数个数
        DWORD   AddressOfFunctions;     // 导出函数地址表RVA
        DWORD   AddressOfNames;         // 导出函数名称表RVA
        DWORD   AddressOfNameOrdinals;  // 导出函数序号表RVA
    } IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

*/
void printExportDir(PIMAGE_EXPORT_DIRECTORY pED,char* buffer)
{
    int nameFAddress = rvaTofoa(pED->Name, buffer);
    char* name = buffer + nameFAddress;
    printf("导出表文件名字为:%s\r\n", name);
    printf("Characteristics:  %08x\r\n", pED->Characteristics);
    printf("TimeDateStamp:  %08x\r\n", pED->TimeDateStamp);
    printf("MajorVersion:  %04x\r\n", pED->MajorVersion);
    printf("MinorVersion:  %04x\r\n", pED->MinorVersion);
    printf("Name:  %08x\r\n", pED->Name);
    printf("Base:  %08x\r\n", pED->Base);
    printf("NumberOfFunctions:  %08x\r\n", pED->NumberOfFunctions);
    printf("NumberOfNames:  %08x\r\n", pED->NumberOfNames);
    printf("AddressOfFunctions:  %08x\r\n", pED->AddressOfFunctions);
    printf("AddressOfNames:  %08x\r\n", pED->AddressOfNames);
    printf("AddressOfNameOrdinals:  %08x\r\n", pED->AddressOfNameOrdinals);
}
int GetFunctionAddrByName(char* buffer, char* name)
{
    PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)(buffer);
    PIMAGE_NT_HEADERS pNTH = (PIMAGE_NT_HEADERS)(buffer + pDosH->e_lfanew);
    PIMAGE_FILE_HEADER pFH = (PIMAGE_FILE_HEADER)((char*)pNTH + 0x4);
    PIMAGE_OPTIONAL_HEADER pOH = (PIMAGE_OPTIONAL_HEADER)((char*)pFH + 0x14);
    int opHeaderLen = int(pFH->SizeOfOptionalHeader);
    PIMAGE_SECTION_HEADER pSecH = (PIMAGE_SECTION_HEADER)((char*)pOH + opHeaderLen);
    PIMAGE_DATA_DIRECTORY pDD = (PIMAGE_DATA_DIRECTORY)(pOH->DataDirectory);
    int exportVAddress = pDD->VirtualAddress;
    //printf("%08x\r\n", exportAddress);
    int exportFAddress = rvaTofoa(exportVAddress, buffer);
    PIMAGE_EXPORT_DIRECTORY pED = (PIMAGE_EXPORT_DIRECTORY)(buffer + exportFAddress);
    //先在DWORD   AddressOfNames; // 导出函数名称表RVA中寻找
    int* FAddressOfNames = (int*)(rvaTofoa(pED->AddressOfNames,buffer)+buffer);//先得到函数名表在文件中的地址
    printf("函数名表在文件中的地址%08x\r\n", rvaTofoa(pED->AddressOfNames, buffer));
    int num = -1;
    for (int i = 0; i < pED->NumberOfNames; i++)
    {
        //从中取出函数名的rva地址
        int rvaOfname = (int) * (FAddressOfNames + i);
        //转化为函数名在文件中地址
        char* fileOfname = (char*)(buffer + rvaTofoa(rvaOfname, buffer));
        printf("%s\r\n", fileOfname);
        if (strcmp(fileOfname, name) == 0)
        {
            num = i;
            break;
        }
    }
    printf("%d\r\n", num);
    //用获得的索引从序号表中找函数的序号 此处易错类型为word
    WORD ord = *((WORD*)(rvaTofoa(pED->AddressOfNameOrdinals,buffer) + buffer) + num);
    printf("%d\r\n", ord);
    //用查到的序号查函数地址
    int add = *((int*)(rvaTofoa(pED->AddressOfFunctions,buffer) + buffer) + ord);
    return add;
}
int GetFunctionAddrByOrdinals(char* buffer, int num)
{
    PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)(buffer);
    PIMAGE_NT_HEADERS pNTH = (PIMAGE_NT_HEADERS)(buffer + pDosH->e_lfanew);
    PIMAGE_FILE_HEADER pFH = (PIMAGE_FILE_HEADER)((char*)pNTH + 0x4);
    PIMAGE_OPTIONAL_HEADER pOH = (PIMAGE_OPTIONAL_HEADER)((char*)pFH + 0x14);
    int opHeaderLen = int(pFH->SizeOfOptionalHeader);
    PIMAGE_SECTION_HEADER pSecH = (PIMAGE_SECTION_HEADER)((char*)pOH + opHeaderLen);
    PIMAGE_DATA_DIRECTORY pDD = (PIMAGE_DATA_DIRECTORY)(pOH->DataDirectory);
    int exportVAddress = pDD->VirtualAddress;
    int exportFAddress = rvaTofoa(exportVAddress, buffer);
    PIMAGE_EXPORT_DIRECTORY pED = (PIMAGE_EXPORT_DIRECTORY)(buffer + exportFAddress);
    int ordbase = pED->Base;
    int ord = num - ordbase;
    int add = *((int*)(rvaTofoa(pED->AddressOfFunctions, buffer) + buffer) + ord);
    return add;
}

int main()
{
    FILE* pfile = fopen("C://Users//52511//Desktop//Dll3.dll","rb");
    char* buffer = NULL;
    int len = filelen(pfile);
    buffer = (char*)malloc(len * sizeof(char));
    memset(buffer, 0, len);
    fread(buffer, 1, len, pfile);
    PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)(buffer);
    PIMAGE_NT_HEADERS pNTH = (PIMAGE_NT_HEADERS)(buffer + pDosH->e_lfanew);
    PIMAGE_FILE_HEADER pFH = (PIMAGE_FILE_HEADER)((char*)pNTH + 0x4);
    PIMAGE_OPTIONAL_HEADER pOH = (PIMAGE_OPTIONAL_HEADER)((char*)pFH + 0x14);
    int opHeaderLen = int(pFH->SizeOfOptionalHeader);
    PIMAGE_SECTION_HEADER pSecH = (PIMAGE_SECTION_HEADER)((char*)pOH + opHeaderLen);
    PIMAGE_DATA_DIRECTORY pDD = (PIMAGE_DATA_DIRECTORY)(pOH->DataDirectory);
    int exportVAddress = pDD->VirtualAddress;
    //printf("%08x\r\n", exportAddress);
    int exportFAddress = rvaTofoa(exportVAddress, buffer);
    PIMAGE_EXPORT_DIRECTORY pED = (PIMAGE_EXPORT_DIRECTORY)(buffer+exportFAddress);
    printExportDir(pED,buffer);
    char* name =(char*) "Plus";
    int address1 = GetFunctionAddrByName(buffer, name);
    printf("Plus函数rva为:%08x\r\n", address1);
    //int fileaddress1 = rvaTofoa(address, buffer);
    //printf("Plus函数foa为%08x\r\n", fileaddress1);
    int address2=GetFunctionAddrByOrdinals(buffer, 15);
    printf("15函数rva为:%08x\r\n", address2);
    int fileaddress2 = rvaTofoa(address2, buffer);
    printf("15函数foa为:%08x\r\n", fileaddress2);
    return 0;
}
努力不当无业游民
关注
滴水逆向——PE导出
sunr.
04-10 1599
Ⅰ.知识点: 1.如何定位导出: 数据目录项的第一个结构,就是导出. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; ...
滴水逆向——PE移动导出
sunr.
04-13 913
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到IAT中. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种的信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统...
导出滴水
若面朝大海边竹妮春暖花开的博客
04-29 266
可选PE头中最后一个元素是一个目录项的数组,这个数组的第一项就是导出 函数序号中存储的就是函数序号 导出中的函数数量的计算方法是最大的序数减去最小的序数加1 Base中存储的是序号开始的地址,序号中的序号需要加上Base才是我们自己设置的导出序号 ...
滴水逆向三期实践11:导出
Rivival_S 的博客
10-28 1252
前面提到头OPTIONAL_HEADER的最后一项,是一个16个元素的结构体数组,为数据目录。 而数据目录项的第一个结构,就是动态链接库中经常提到的 导出. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIR...
滴水逆向三期实践13:移动导出
Rivival_S 的博客
10-28 1115
为什么要移动各种? 1、这些是编译器生成的,里面存储了非常重要的信息。 2、在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到 IAT 中(IAT后面会讲) 3、为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 我们知道数据目录的各种是存在各个节里的,而exe的代码的信息也是在节里,与客户字节的代码和数据都混在一起了,如果进行加密(加壳),那系统在初始化的时候会出问题! 综上,学会移动各种,是对程序加密/破解的基础。 移动导
滴水三期完整版(96课时)
04-20
第45讲:2015-03-26(移动导出-重定位) 第46讲:2015-03-27(IAT) 第47讲:2015-03-27(导入) 第48讲:2015-03-30(绑定导入) 第49讲:2015-03-31(导入注入) 第50讲:2015-04-01(C++ this指针 类 上) ...
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
PE文件头包含了许多关于程序的重要信息,如入口点地址、节导出和导入函数等。在源码中,可能有对`IMAGE_DOS_HEADER`和`IMAGE_NT_HEADERS`结构的解析,这些都是PE文件结构的基础部分。`IMAGE_DOS_HEADER`包含了MS...
c语言程序设计 滴水视频,编程达人滴水中级班视频教程
weixin_42513387的博客
05-17 733
Java视频教程详情描述:《编程达人滴水中级班视频教程》编程达人来了,N部视频教程让你成为真正的编程达人,融会贯通将是本套视频最大的目的。Java视频教程目录:├─APC机制│ 01 APC的本质.mp4│ 02 备用Apc队列.avi│ 03 APC挂入过程.avi│ 04 内核APC执行过程.avi│ 05 用户APC执行过程.avi│├─c│...
滴水三期逆向基础系列(四)-解析导出
henuyl的博客
04-28 641
本来开开心心一遍过,自己写的DLL的文件也能解析出来,突然,我从崩坏3桌面版随便找了一个DLL拖进了我的程序,发现运行不正常,没想那么多,就去排查代码逻辑问题,从上到下看了个遍,发现,代码本没问题,后来,我突然发现,这是个64位PE文件(我不是应该早点发现吗!!),然后,改了一下,运行成功。 VOID ReturnAllExport( IN LPVOID pFileBuffer ){ if...
C/C++语言基础--C++面向对象、类、对象概念讲解
weixin_74085818的博客
09-18 1552
世界上所有人都有一个相似的东西,那就我们都是人类,简称人,:happy:,所以人也可以抽象成一个类;对于长方形、圆、正方形……来说,他们都抽象成平面几何,他们都有共同的特性,就是有面积…………以上两点看起来很**”无语“**,但是这就是面向对象的思想案例,就像是我们说的一切复杂的东西本质都是简单的。一个具体东西,是一个对象的实例,就像人是一个对象,但是我是一个类,你也是一个类,他也是抽象是将类对象的共同特征总结、提取出来构造类的过程,只关注对象的哪些属性和行为,并不关注这此行为的细节是什么。
ssm9293农家乐管理系统.zip
最新发布
09-28
技术选型 【后端】:Java 【框架】:ssm 【前端】:vue/jsp 【JDK版本】:JDK1.8 【服务器】:tomcat7+ 【数据库】:mysql 5.7+ 包含:项目源码、数据库脚本、项目功能介绍文档等,该项目源码可作为毕设使用。 项目都经过严格调试,确保可以运行! 具体项目介绍可查看博主文章
基于SpringBoot和Vue的青锋后台管理系统设计源码
09-28
该源码是一款基于SpringBoot和Vue构建的青锋后台管理系统,集成了371个文件,涵盖148个Java源文件、85个Vue组件、58个JavaScript脚本、23个XML配置、12个FTL模板、7个XLS格、5个属性文件、3个JSON配置、3个HTML页面和3个LESS样式。系统以SpringBoot为核心框架,结合layui和Activiti工作流,具备代码生成器、自定义单和拖拽可视化报大屏等功能,为用户提供了一个功能齐全、易于扩展的脚手架平台。尽管开源代码可能存在不足,但欢迎广大开发者提出宝贵意见。
基于51单片机太阳能锂电池充电电压电流检测液晶显示设计(毕业设计)
09-28
本设计由STC89C52单片机+LCD1602液晶显示电路+A/D转换芯片PCF8591电路+电压检测电路+电流检测电路ACS712-5A+继电器控制电路+电源电路设计而成。 功能描述: 1、通过太阳能电池板给锂电池充电,通过单片机检测太阳能给电池的充电电压和充电电流,并在1602液晶上显示出来! 2、通过继电器,有过压保护,当锂电池充电电压超过了4.5V或者充电电流超过1A,继电器断开,充电停止。 资料包含: 程序源码 电路图 任务书 答辩技巧 开题报告 参考论文 系统框图 程序流程图 使用到的芯片资料 器件清单 中期报告 等等资料
外鼻梁条超声焊接机_三维3D设计图纸.zip
09-28
外鼻梁条超声焊接机_三维3D设计图纸.zip
基于PHP+JavaScript+CSS的爱宠狼人杀后台服务设计源码
09-28
本项目是一款基于PHP、JavaScript和CSS的爱宠狼人杀后台服务设计源码,总文件量为176个,其中包括124个PHP文件、12个Git忽略文件、5个JSON文件、4个JavaScript文件以及各类字体和图标文件。该系统专为爱宠狼人杀游戏的后台管理设计,旨在提供高效便捷的管理服务。
基于Java的Spring Security基础教程设计源码
09-28
本项目为Java编写的Spring Security基础教程源码,包含85个文件,其中包括52个Java源文件、17个XML配置文件、13个YAML文件、1个Git忽略文件、1个Markdown文件和1个Word文档,旨在为开发者提供Spring Security框架的学习与实践基础。
Nacos持久化SQL脚本-nacos.sql
09-28
Nacos持久化SQL脚本-nacos.sql
基于黔染出山记的蜡染非遗融合现代设计源码
09-28
该项目为黔染出山记蜡染非遗融合现代设计的源码,总计包含145个文件,涵盖76个PNG图片文件、31个JPG图片文件、10个CSS样式文件、10个HTML文件、9个JavaScript文件、2个XML和JSON文件、1个IML文件、1个LICENSE文件以及1个字体文件。该项目旨在将黔染蜡染这一传统技艺与现代设计理念相融合,创新性地推动贵州蜡染手工艺的振兴,使这一文化遗产焕发新活力,融入现代生活,助力非遗传承与发展,同时促进贵州地区的经济增长。
halcon 滴水算法
06-14
滴水算法(也称为“水填充”或“区域生长”)是Halcon中用于图像分割的一种方法,它的基本思想是将图像中的像素分为两类:前景和背景。这个过程从一个初始的种子像素开始,然后逐步扩展,将与已知前景相似的邻近像素...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力不当无业游民

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值