PE导出表,C语言打印导出表信息【滴水逆向三期49笔记+作业】

已于 2023-08-29 20:35:04 修改
阅读量779 收藏 6
点赞数 5
分类专栏: PE文件结构学习 文章标签: c语言 安全 c++ 数据挖掘
于 2023-03-22 11:13:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/129703761
版权

我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录
今天我们来学习数据目录的第一个结构:导出表

文章目录

一.如何定位导出表

我们先来看看数据目录的结构:

typedef struct _IMAGE_DATA_DIRECTORY{
DWORD VirtualAddress;//数据的RVA
DWORD Size;//数据的大小
}

这里的VirtualAddress指向导出表
需要注意的是,这里的VirtulaAddress为RVA,也就是ImageBuffer中的偏移,如果我们要在ImageBuffer里找到导出表,我们需要将RVA转换为FOA之后在ImageBuffer中通过偏移找到导出表。
这里的Size表示数据的大小,也就是导出表的大小

二.导出表解析

我们来看看导出表的结构:

typedef struct _IMAGE_EXPORT_DIRECTORY{
DWORD Characteristics;//未使用
DWORD TimeDateStamp;//时间戳,表示输出表的创建时间
WORD MajorVersion;//输出表的主版本号,未使用,设置为0
WORD MinorVersion;//输出表的次版本号,未使用,设置为0
DWORD Name;//指向一个与输出函数关联的文件名的RVA
DWORD Base;//导出函数的其实序号
DWORD NumberOfFunctions;//导出函数的总数
DWORD NumberOfNames;//以函数名导出的函数的个数
DWORD AddressOfFunctions;//指向导出函数地址表的RVA
DWORD AddressOfNames;//指向导出函数名称表的RVA
DWORD AddressOfOrdinals;//指向函数序号表的RVA
}IMAGE_EXPORT_DIRECTORY,*PIMAGE_EXPORT_DIRECTORY

在导出表中我们要特别注意最后三个元素:它们分别指向导出函数地址表,导出函数名称表,导出函数序号表,我们需要将三个RVA转换为FOA来找到三张表。
我们来分别讲解一下这三张表:

1.函数地址表

如何找到函数地址表:
通过导出表的AddressOfFunction字段,若要在FIleBuffer中找到函数地址表,还需将其转换为FAO加上FileBuffer基址。
我们来看看函数地址表:
函数导出表
这里我们可以通过下标来寻找函数地址,下标标记方式为函数导出序号-Base
比如说,我们已知函数导出序号为5,Base为2,那么该函数的函数地址为:函数地址表的第5-2=3个。

2.函数导出序号表

如何找到函数导出序号表:
通过导出表的AddressOfOrdinals字段,同样,若要在FileBuffer中找到函数导出序号表,需要将其转换为FOA加上FileBuffer基址。
我们来看看函数导出序号表:
函数导出序号表
需要注意的是,函数导出序号表中存储的函数导出序号为:函数真正导出序号-Base
我们可以发现:函数导出序号表中的元素并不是按照顺序排列的,那么他是如何排列的呢?
其实这里的函数导出序号是和函数名称表对应的,我们假设有两个函数,其函数名称为Abcde(函数真正导出序号为3)和Bcdef(函数真正导出序号为2),那么Base就为2,在函数名称表中,以A开头的函数名称存储在最前面,以B开头的函数名称存储在后面,在我们举例的两个函数中,函数名称表中Abcde存储在Bcdef前面,所以Abcde的导出序号就存储在Bcdef后面,也就是在函数导出序号表中,存储1和0,而且1在0前面。
我们给出图来加深理解:
导出序号表中序号的排列

3.函数名称表

如何找到函数名称表:
通过导出表的AddressOfNames字段,同样如果要在FileBuffer中找到,需要将其转化为FOA。
我们来看看函数名称表:
函数导出表
我们可以看到:在函数名称表中存储的还是地址,那么这个地址又指向哪里呢?
函数地址表中的元素为该存储函数名称的地址。
需要注意的是,在函数名称表中,函数是按照函数名称排序的,也就是说以A开头的函数排列在最前面,以Z开头的函数排列在后面,但是在文件中,并不一定是以A开头的函数在以Z开头的函数前面,有可能在文件中,某个函数名称以B开头的函数存储在函数名称以A开头的函数前面
在函数导出序号表中,函数的排列方式与函数名称表中的一致:比如某个函数名称以A开头的函数存储在函数地址表中第一个,那么在函数导出序号表中,该函数的导出序号也存储在第一个。
我们给出图来加深对导出表的理解:
PE导出表

四.如何通过函数名称找到函数地址

这里我们给出思路,代码放在后面:
1.通过遍历函数名称表,找到该函数名称下标
2.通过该下标在函数导出序号表中找到该函数到处序号
3.通过该函数导出序号在函数地址表中找到该函数地址

五.如何通过函数导出序号找到函数地址

这个就比较简单了,通过函数导出序号,减去Base,通过这个值在函数地址表中找到该函数地址

六.课程作业

1.编写程序打印导出表信息
2.通过函数名称找到函数地址 GetAddressOfFunctionByName
3.通过函数导出序号找到函数地址 GetAddressOfFunctionByOrdinal

课程作业源码

在这里我给出我自己写的程序源码,大家自行理解:
函数文件:Function.h

/**************************************************************/ 
//*********************自编PE函数库****************************/



/********1.打开文件函数(将文件二进制读取到FileBuffer) *******/
/*函数说明:
该函数需要一个char类型的指针,指向想要打开的文件路径
该函数返回一个char类型的指针,指向FileBuffer
该函数完成文件的打开,并且将文件的二进制读取到FIleBuffer
该函数读取完成后会将文件关闭,避免出现误操作
该函数会通过移动文件指针获取文件大小
获取的文件大小用于动态申请内存 
该函数会动态申请内存,用于存放FileBuffer
*/ 
char* ReadToFileBuffer(char* filename){
	FILE* fp;
	char* FileBuffer=NULL;
	int length;
	if((fp=fopen(filename,"rb"))==NULL){
		printf("%s打开失败!",filename);
		exit(0);
	}else{
		printf("文件打开成功,正在计算文件大小...\n");
	}
	fseek(fp,0,SEEK_END);
	length=ftell(fp);
	fseek(fp,0,SEEK_SET);
	printf("文件大小:%d字节\n正在申请FileBuffer内存...\n",length);
	FileBuffer=(char*)malloc(length);
	if(FileBuffer!=NULL){
		printf("FileBuffer内存申请成功。准备向FileBuffer写入数据...\n");
	}
	if((fread(FileBuffer,length,1,fp))==0){
		printf("写入数据失败!\n");
		exit(0);
	}else{
		printf("写入数据成功。\n");
	}
	if(fclose(fp)){
		printf("文件关闭失败!\n");
		exit(0);
	}else{
		printf("文件关闭成功。\n");
	}
	return FileBuffer;
}
/**********************2.获取PE导出表数据函数********************
该函数需要一个指针,指向FileBuffer
该函数在找到导出表之前,需要定义DOS结构指针,标准PE头结构指针和可选PE头指针,以方便找到导出表
该函数会在控制台输出函数地址表,函数名称表和函数导出序号表 */
void ShowExportDirectory(char* FileBuffer){
	IMAGE_DOS_HEADER* pDosHeader=NULL;
	IMAGE_FILE_HEADER* pFileHeader=NULL;
	IMAGE_OPTIONAL_HEADER32* pOptionalHeader=NULL;
	IMAGE_EXPORT_DIRECTORY* pExportDirectory=NULL;
	pDosHeader=(IMAGE_DOS_HEADER*)FileBuffer;
	if(*((PDWORD)((DWORD)FileBuffer + pDosHeader->e_lfanew))!= IMAGE_NT_SIGNATURE){
		printf("不是有效的PE标志!\n");
	}else{
		printf("检测到有效的PE标志。\n");
	}
	pFileHeader=(IMAGE_FILE_HEADER*)(FileBuffer+pDosHeader->e_lfanew+4);
	pOptionalHeader=(IMAGE_OPTIONAL_HEADER32*)((DWORD)pFileHeader+20);
	pExportDirectory = (IMAGE_EXPORT_DIRECTORY*)(FileBuffer+RVAToFOA(FileBuffer,pOptionalHeader->DataDirectory[0].VirtualAddress));
	printf("导出表RVA:%x\n",pOptionalHeader->DataDirectory[0].VirtualAddress);
	printf("导出表大小:%x字节\n",pOptionalHeader->DataDirectory[0].Size);
	printf("导出表FOA:%d\n",RVAToFOA(FileBuffer,pOptionalHeader->DataDirectory[0].VirtualAddress));
	printf("*******************************导出表*********************************\n");
	printf("TimeDataStamp(经加密):%d\n",pExportDirectory->TimeDateStamp);
	printf("Name(导出表文件名字符串):%s\n",FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->Name));
	printf("Base(函数起始序号):%d\n",pExportDirectory->Base);
	printf("NumberOfFunction(导出函数总数):%d\n",pExportDirectory->NumberOfFunctions);
	printf("NumberOfNames(以名称导出函数的总数):%d\n",pExportDirectory->NumberOfNames);
	printf("*****************************函数地址表********************************\n");
	int i=0;
	char* AddressOfFunction;
	AddressOfFunction=(char*)(FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->AddressOfFunctions));
	for(i=0;i<pExportDirectory->NumberOfFunctions;i++){
		printf("下标:%d     函数地址:0x%x\n",i,*(PWORD)((DWORD)AddressOfFunction+i*4));
	}
	printf("*****************************函数名称表********************************\n");
	int* AddressOfNames=NULL;
	char* name=NULL;
	AddressOfNames=(int*)(FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->AddressOfNames));
	for(i=0;i<pExportDirectory->NumberOfNames;i++){
		name=(char*)(FileBuffer+RVAToFOA(FileBuffer,*AddressOfNames));
		printf("下标:%d     函数名称:%s\n",i,name);
		AddressOfNames++;
	}
	printf("*******************************函数序号表*******************************\n");
	char *AddressOfNameOrdinals=NULL;
	char *Ordinal=NULL;
	AddressOfNameOrdinals=(int*)(FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->AddressOfNameOrdinals));
	for(i=0;i<pExportDirectory->NumberOfNames;i++){
		Ordinal=(int*)(FileBuffer+RVAToFOA(FileBuffer,*AddressOfNameOrdinals));
		printf("下标:%d      函数序号(加Base):%d\n",i,*(AddressOfNameOrdinals+i*2)+pExportDirectory->Base);
	} 
}
/***********************3.RVA转换为FOA函数*************************
该函数需要一个指针,指向FileBuffer
该函数需要一个整数,为要转换的RVA
该函数返回一个整数,为转换后的FOA地址*/ 
int RVAToFOA(IN LPVOID pFileBuffer, IN DWORD dwRva)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_FILE_HEADER pFileHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	PIMAGE_SECTION_HEADER pNextSectionHeader = NULL;
	//DOS头
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;	// 强转 DOS_HEADER 结构体指针
	//PE头
	pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pFileBuffer + pDosHeader->e_lfanew + 4);	//NT头地址 + 4 为 FileHeader 首址
	//可选PE头	
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);//SIZEOF_FILE_HEADER为固定值且不存在于PE文件字段中
	if (dwRva < pOptionalHeader->SizeOfHeaders)	//偏移小于头的大小,内存偏移则为文件偏移
	{
		return dwRva;
	}
    //首个节表
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader);
	//下一个节表
	pNextSectionHeader = pSectionHeader + 1;
	//循环遍历节表
	int i;
	for (i = 1; i < pFileHeader->NumberOfSections; i++, pSectionHeader++, pNextSectionHeader++)//注意这里i从1开始 i < NumberOfSections
	{	//注意这里的pSectionHeader已经是加了基址的,不是偏移, 是绝对地址。而dwRva是偏移地址
		if (dwRva >= pSectionHeader->VirtualAddress && dwRva < pNextSectionHeader->VirtualAddress)//大于当前节的内存偏移而小于下一节的内存偏移
		{	//则dwRva属于当前节,则dwRva - VirtualAddress为dwRva基于当前节的偏移。此偏移加上当前节的文件起始偏移地址 则为dwRva在文件中的偏移
			DWORD PointerToRawData = pSectionHeader->PointerToRawData;
			DWORD VirtualAddress = pSectionHeader->VirtualAddress;
			DWORD aa = pSectionHeader->PointerToRawData + dwRva - pSectionHeader->VirtualAddress;
			return pSectionHeader->PointerToRawData + dwRva - pSectionHeader->VirtualAddress ;
		}
	}	//出循环后pSectionHeader指向最后一个节表
	//大于当前节(最后一节)的内存偏移且小于内存映射大小
	if (dwRva >= pSectionHeader->VirtualAddress && dwRva < pOptionalHeader->SizeOfImage)
	{	//同上return
		return pSectionHeader->PointerToRawData + dwRva - pSectionHeader->VirtualAddress;
	}
	else //大于内存映射大小
	{
		printf("dwRva大于内存映射大小\n");
		return -1;
	}
}
/***********************4.根据函数名称查找函数地址函数***********************
该函数需要一个指针,指向要打开的文件路径 
该函数返回一个整数,指向得到的函数地址
*/
void GetAddressOfFunctionByName(char* filename){
	char* FileBuffer=NULL;
	char inname[5];
	int i;
	FileBuffer=ReadToFileBuffer(filename);
	IMAGE_DOS_HEADER* pDosHeader=NULL;
	IMAGE_FILE_HEADER* pFileHeader=NULL;
	IMAGE_OPTIONAL_HEADER32* pOptionalHeader=NULL;
	IMAGE_EXPORT_DIRECTORY* pExportDirectory=NULL;
	pDosHeader=(IMAGE_DOS_HEADER*)FileBuffer;
	if(*(PWORD)((DWORD)FileBuffer+pDosHeader->e_lfanew)==IMAGE_NT_SIGNATURE){
		printf("检测到有效的PE标志。\n");
	}else{
		printf("未检测到有效的PE标志!\n");
		exit(0);
	}
	pFileHeader=(IMAGE_FILE_HEADER*)((DWORD)FileBuffer+pDosHeader->e_lfanew+4);
	pOptionalHeader=(IMAGE_OPTIONAL_HEADER32*)((DWORD)pFileHeader+20);
	pExportDirectory = (IMAGE_EXPORT_DIRECTORY*)(FileBuffer+RVAToFOA(FileBuffer,pOptionalHeader->DataDirectory[0].VirtualAddress));
	int* AddressOfNames=NULL;
	char* name=NULL;
	AddressOfNames=(int*)(FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->AddressOfNames));
	
	printf("请输入您需要查找的函数名:");
	scanf("%s",inname);
	printf("正在查找中...\n");
	for(i=0;i<pExportDirectory->NumberOfNames;i++){
	name=(int*)(FileBuffer+RVAToFOA(FileBuffer,RVAToFOA(FileBuffer,*AddressOfNames)));
		if(!(strcmp("Plus",name))){
			printf("下标为%d的函数名符合。\n",i);
			break;
		}
		AddressOfNames++;
	}
	char* Ordinal=NULL;
	Ordinal=(char*)(FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->AddressOfNameOrdinals)+i*2);
	char* AddressOfFunction=NULL;
	AddressOfFunction=(char*)(FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->AddressOfFunctions)+*Ordinal*4);
	printf("Ordinal(函数导出序号(未加Base)):%d    AddressOfFunction:0x%x",*Ordinal,*(PWORD)((DWORD)AddressOfFunction));
}
/***********************5.根据函数序号查找函数地址函数***********************
该函数需要一个指针,指向要打开的文件路径 
该函数返回一个整数,指向得到的函数地址
*/
void GetAddressOfFunctionByOrdinal(char* filename){
	char* FileBuffer=NULL;
	int InOrdinal=0;
	IMAGE_DOS_HEADER* pDosHeader=NULL;
	IMAGE_FILE_HEADER* pFileHeader=NULL;
	IMAGE_OPTIONAL_HEADER32* pOptionalHeader=NULL;
	IMAGE_EXPORT_DIRECTORY* pExportDirectory=NULL;
	FileBuffer=ReadToFileBuffer(filename);
	char* AddressOfFunction;
	pDosHeader=(IMAGE_DOS_HEADER*)FileBuffer;
	if(*(PWORD)((DWORD)FileBuffer+pDosHeader->e_lfanew)==IMAGE_NT_SIGNATURE){
		printf("检测到PE标志。");
	}else{
		printf("未检测到PE标志!\n");
		exit(0);
	}
	pFileHeader=(IMAGE_FILE_HEADER*)(FileBuffer+pDosHeader->e_lfanew+4);
	pOptionalHeader=(IMAGE_OPTIONAL_HEADER32*)((DWORD)pFileHeader+20);
	
	pExportDirectory = (IMAGE_EXPORT_DIRECTORY*)(FileBuffer+RVAToFOA(FileBuffer,pOptionalHeader->DataDirectory[0].VirtualAddress));
	printf("请输入您需要查找的函数导出序号:");
	scanf("%d",&InOrdinal);
	InOrdinal=InOrdinal-pExportDirectory->Base;
	AddressOfFunction=(char*)FileBuffer+RVAToFOA(FileBuffer,pExportDirectory->AddressOfFunctions+InOrdinal*4);
	printf("函数导出序号(未加Base):%d       函数地址:0x%x",InOrdinal,*(PWORD)((DWORD)AddressOfFunction));
}

函数实现:main.c

#include <stdio.h>
#include <windows.h>
#include <string.h>
#include "PEFunction.h"
int main(int argc, char** argv){
	char filename[50];
	printf("请输入文件路径:");
	scanf("%s",filename);
	char* FileBuffer;
	int choose=0;
	printf("*******************************欢迎使用PE导出表自编工具***************************************\n");
	printf("************                                                                      ************\n");
	printf("************                                                                      ************\n");
	printf("************                        请选择您需要的项目:                           ************\n");
	printf("************                        1.导出问价导出表.                             ************\n");
	printf("************                        2.根据函数名称查找函数地址.                   ************\n");
	printf("************                        3.根据函数导出序号查找函数地址.               ************\n");
	printf("************                                                                      ************\n");
	printf("************                                                                      ************\n");
	printf("**********************************************************************************************\n");
	printf("     ----------------------版权所有:https://blog.csdn.net/qq_73985089?spm=1000.2115.3001.5343\n");
	printf("     -----------------------------------------------------------------如需引用,请告知原作者!\n"); 
	printf("请输入您需要的项目:");
	scanf("%d",&choose); 
	switch(choose){
		case 1:{
			FileBuffer=ReadToFileBuffer(filename);
			ShowExportDirectory(FileBuffer);
			break;
		}
		case 2:{
			GetAddressOfFunctionByName(filename);
			break;
		}
		case 3:{
			GetAddressOfFunctionByOrdinal(filename);
			break;
		}
	}
	
	free(FileBuffer);
	return 0;
}

今天的课程就分享到这里,如果发现文章中有理解错误,还请大家指出来,我会非常虚心地学习,希望我们能一起进步!

Shad0w-2023
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C语言怎么获得进程的PE文件信息
09-02
主要介绍了C语言怎么获得进程的PE文件信息的相关代码,需要的朋友可以参考下
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
导入导出地址分析(根据库文件名求出:导入函数数量、函数序号、函数名称)
Hardworking666的博客
04-20 1113
文章目录一、基础知识找出库文件名和RVAsec和RAWsec二、分析INT和IAT,得出导入函数数量三、第一函数序号、第一函数名称 一、基础知识 导入地址(Import Address Table,IAT)用来记录程序正在使用哪些DLL中的哪些函数。 导入名称(Import Name Table,INT) 找出库文件名和RVAsec和RAWsec 通过分析PE头,可得notepad.exe的各节区头范围如4-12所示。并分析出4-13。 二、分析INT和IAT,得出导入函数数量 下面进一步分
11.PE文件之导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5302
目录 导出定位以及解析(手动) 代码定位导出打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
通过导出和函数名 获取特定进程下模块的导出函数地址
吾无法无天的博客
04-24 1965
需要的头文件: #include<windows.h> #include<iostream> #include<Psapi.h> using namespace std; 获取进程下的模块基址: PVOID GetProcessMoudleBase(HANDLE hProcess, char* moduleName) { // 遍历进程模块, HM...
PE-导出
megaparsec
12-19 895
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
最新发布
08-21
1. **导出目录**:这是PE导出的起点,它包含导出的大小、位置、版本信息导出名称指针、导出地址指针等。 2. **导出名称**:这是一个字符串数组,包含了所有导出函数的名称。每个名称都有一个索引,与导出...
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于更多的用途还等你来发现了。 这个程序为学习PE结构的产品,如果时间精力允许我会继续更新。 如果你有什么...
数据库设计库结构导出工具+springboot构建+mysql库导出
06-28
数据库库文档需要结构化导出,对于少数,人工导出复制粘贴到文档中,操作还比较容易,对于几十甚至上百张的操作,就会耗费很大工作量,收集整理了该数据库库结构导出demo代码,基于maven构建,导入IDEA编译...
语言源码易语言导入导出PE源码.rar
03-31
PE是Windows操作系统中可执行文件(.exe和.dll)的标准格式,包含了关于程序的各种元数据,如导入和导出函数、资源信息、线程局部存储区等。在易语言中处理PE可以帮助我们更好地理解程序结构,并实现一些高级...
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3778
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出,DLL 文件可
PE文件基础(不全还在补全) V1.0
dohxxx的博客
10-05 489
PE的基本概念 地址: PE中设计的地址有四类: 1.虚拟内存地址(VA): 用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA), 所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址 2,相对虚拟内存(...
PE文件-导出
weixin_45012273的博客
11-08 1404
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
导出 IMAGE_EXPORT_DIRECTORY
Ghjhfssfgk的博客
01-28 360
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
PE文件:导出
weixin_43742894的博客
04-01 765
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
PE_导出
个人笔记
04-01 572
导出导出概念导出的作用导出数据结构(IMAGE_EXPORT_DIRECTORY)IMAGE_EXPORT_DIRECTORY.nNameIMAGE_EXPORT_DIRECTORY.NumberOfFunctionsIMAGE_EXPORT_DIRECTORY.NumberOfNamesIMAGE_EXPORT_DIRECTORY.AddressOfFunctionsIMAGE_EXPORT_DIRECTORY.nBaseIMAGE_EXPORT_DIRECTORY.AddressOfNamesI
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1248
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE总结8---PE文件结构之导出 (IMAGE_EXPORT_DIRECTORY)
oBuYiSeng的博客
12-09 2304
导出由3个部分构成:  名称,   函数,   序号。   名称和序号就是索引,引导调用者找到真正的函数。   函数中保存着被导出函数的地址信息    导出在内存中的顺序是按照输出名称来确定的。     IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri
实验7 pe导出分析及应用
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们可以通过使用工具如PEview、PE Explorer等对PE文件的导出进行分析,了解其中包含的函数和变量信息。同时,我们还可以使用工具如DLL Export Viewer、Dependency Walker等来查看DLL文件的导出信息。 在实际应用中,Pe导出分析可以用于以下方面: - 程序调试和逆向工程:通过分析导出中的函数和变量,可以帮助我们了解程序的逻辑和调用关系,从而进行调试和逆向分析。 - 恶意程序检测:恶意程序通常会使用一些特定的函数和变量来实现其攻击功能,通过分析导出中的函数和变量,可以帮助我们快速识别和查找这些恶意代码。 - 应用程序开发:在开发应用程序时,我们可以利用导出中的函数和变量实现各种功能,如调用系统API、实现插件机制等。 总之,Pe导出分析是一个非常有用的技能,可以帮助我们更好地理解和应用PE文件和DLL文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值