打印PE导出表

最新推荐文章于 2022-09-25 15:24:44 发布
最新推荐文章于 2022-09-25 15:24:44 发布
阅读量1k 收藏
点赞数
分类专栏: windows 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szhhck/article/details/9396605
版权 
#include<Windows.h>
#include<stdio.h>
#include<tchar.h>
int main()
{
	void *pPEB=NULL;
	void *pPEB_LDR_DATA=NULL;
	void *pModuleList=NULL;
	void *pKernelBase=NULL;
	void *pPEHeader=NULL;
	void *pExportTable=NULL;
	void *pAddressOfNames=NULL;
	void *pAddressOfFunctions=NULL;
	void *pAddressOfNameOrdinals=NULL;
	DWORD *pNumberOfFunctions=NULL;
	__asm
	{
		mov eax,fs:[0x30] //获得pPEB地址
		mov pPEB,eax
		mov eax,[eax+0x0c] //获得pPEB_LDR_DATA指针
		mov pPEB_LDR_DATA,eax
		//获取InInitializationOrderModuleList链表头第一个LDR_MODULE节点
		//分别是按照加载顺序、在内存中的地址顺序和初始化顺序排列的模块信息结构的指针,
		//三条链表一样,只不过排序规则不一样,位置不一样
		mov eax,[eax+0x1c]
		mov pModuleList,eax
		mov eax,[eax]
		mov eax,[eax+0x08]
		mov pKernelBase,eax//Kernel基址
		mov eax,[eax+0x3c]
		add eax,pKernelBase
		mov pPEHeader,eax//PE头
		mov eax,[eax+0x78]
		add eax,pKernelBase
		mov pExportTable,eax//导出表
		mov pNumberOfFunctions,eax
		add pNumberOfFunctions,0x14//导出函数个数
		mov eax,[eax+0x1c]
		add eax,pKernelBase
		mov pAddressOfFunctions,eax//指向输出函数地址的RVA
		mov eax,pExportTable
		mov eax,[eax+0x20]
		add eax,pKernelBase
		mov pAddressOfNames,eax//导出函数名表
		mov eax,pExportTable
		mov eax,[eax+0x24]
		add eax,pKernelBase
		mov pAddressOfNameOrdinals,eax//指向输出函数序号的RVA
	}
	void *p=pModuleList;
	do
	{
		wprintf(L"FullPathName:%s\nDLLName:%s\nBaseAddress:%X\n",*(void **)((unsigned)p+0x18),*(void **)((unsigned)p+0x20),*(void **)((unsigned)p+0x08));
		p=*((void **) p);
	}while(p!=pModuleList);
	void * pFunName;
	WORD Ordinal=0;
	for(int i=0;i<*pNumberOfFunctions;i++)
	{
		getchar();
		pFunName=(void *)((unsigned)pAddressOfNames+i*4);
		printf("第%d个导出函数:%s	",i+1,unsigned(*(void **)pFunName)+(unsigned)pKernelBase);
		Ordinal=WORD(*(void**)(i*2+(unsigned)pAddressOfNameOrdinals));
		printf("地址:%X\n",unsigned(*(void**)((unsigned)pAddressOfFunctions+Ordinal*4))+unsigned(pKernelBase));
	}
	return 0;
}

isry
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构(一)导出
weixin_37673331的博客
02-27 314
导出结构 主要记三张对应关系即可其他结构参照pe结构图一目了然 AddressOfFunctions AddressOfNameOrdinals AddressOfNames 函数地址为准,可以理解为主索引 导出的ordinal+base才是真正的ordinal,图中红色部分ordinal为4,即函数地址中第5条 名字地址索引与ordinal索引一致,一对一。 上代码 # defin...
PE_导出
qq_42363151的博客
09-25 95
PE
PE导出
qq_41490873的博客
12-15 184
导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD Name; //指向该导出文件名 (RVA) DWORD Base;//导出的起始序号 (序号的......
手工解析PE(导出)
GNAIXGNAHZ的博客
06-19 238
手工解析PE(导出)
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
pe导出pe导出pe导出pe导出pe导出pe导出
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件的导出进行增、删、改的操作,现在它还可以用于给没有导出的文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
易语言导入导出PE
07-22
易语言导入导出PE源码,导入导出PE,ExportsDLLFunction,LOWORD,ImageRvaToVa,API_创建文件,API_创建文件映射对象,API_MapViewOfFile,API_UnmapViewOfFile,API_关闭内核对象
PE导出查看器-易语言
06-11
19年9月份左右写的,直接上源码,只解析了PE结构里面的导出
导出导出导出导出导出导出导出导出导出导出
最新发布
01-02
导出导出导出导出 导出导出导出 导出导出导出导出 导出导出导出导出 导出导出导出导出
打印导出
qq_41232519的博客
10-05 596
文章目录一、流程二、演示三、完整代码 一、流程 1、创建一个RVA转FOA的函数 2、创建一个打印导出的函数 3、File-> FileBuffer 4、获取头信息 5、获取结构体数组的信息 6、获取导出的地址Rva 7、获取导出的地址Foa 8、导出在文件中的地址 9、打印导出的成员属性 10、将导出Name、AddressOfNames、AddressOfFunctions、AddressOfNameOrdinals的Rva转换成Foa 11、 打印导出文件名 12、获取导出函数地址
打印 PE导入导出
weixin_33766168的博客
04-17 761
#include<Windows.h> #include<iostream> #include<stdio.h> #include<stdlib.h> #include<commdlg.h> using namespace std; DWORD dwFileSize; BYTE* g_pFileImageBase = 0; PIMAGE...
PE导出(输出)学习笔记
tzwj1983的博客
03-19 1920
导出
23. PE结构-PE详解之输出导出
墨痕诉清风的博客
03-05 3284
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
PE文件:导出
weixin_43742894的博客
04-01 737
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
PE文件学习笔记(三):导出(Export Table)解析
Apollon_krj的博客
08-17 6183
数据目录(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十六个元素分别存储了不同信息,分别是:导入导出、资源、异常信息、安全证书、重定位、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的有:导出、导入、重定位、IA
【学习】Windows PE文件学习(一:导出
weixin_30905981的博客
08-16 260
  今天做了一个读取PE文件导出的小程序,用来学习。   参考了《Windows PE权威指南》一书。   首先,PE文件的全称是Portable Executable,可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件。   我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。要使用任何一个DLL所提供的函数,我们...
实验7 pe导出分析及应用
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值