零基础逆向工程21_PE结构05_数据目录表_导出表

最新推荐文章于 2024-04-07 23:51:49 发布
最新推荐文章于 2024-04-07 23:51:49 发布
阅读量100 收藏 1
点赞数
原文链接:http://www.cnblogs.com/flatcc/p/7627424.html
版权

数据目录

1、我们所了解的PE分为头和节,在每个节中,都包含了我们写的一些代码和数据,但还有一些非常重要             
的信息是编译器替我们加到PE文件中的,这些信息可能存在在任何可以利用的地方。              
                
2、这些信息之所以重要,是因为这些信息包含了诸如:               
                
PE程序的图标在哪里?             
                
用到了哪些系统提供的函数?               
                
为其他的程序提供哪些函数?               
                
3、编译器添加了这么多信息,那程序是如何找到这些信息的呢?               
                
答案就是:数据目录

4、数据目录定位:

可选PE头最后一个成员,就是数据目录.一共有16个:

typedef struct _IMAGE_DATA_DIRECTORY {              
    DWORD   VirtualAddress;             //内存偏移
    DWORD   Size;               //大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16

分别是:导出表、导入表、资源表、异常信息表、安全证书表、重定位表、调试信息表、版权所以表、全局指针表
TLS表、加载配置表、绑定导入表、IAT表、延迟导入表、COM信息表 最后一个保留未使用。

和程序运行时息息相关的表有:

导出表
导入表
重定位表
IAT表

导出表

1135275-20171004222709583-1528316268.png

转载于:https://www.cnblogs.com/flatcc/p/7627424.html

335046781
关注
PE文件结构-目录结构
阿Q在行走
03-09 1028
目录结构 数据目录项位于可选PE头的最后一部分,向前四个字节说明了数据目录项的数量,而每个数据目录项的结构一致,分别包含RVA地址和数据项的大小。 IMAGE_DATA_DIRECTORY STRUCT { DWORD VirtualAddress ;数据的起始RVA DWORD isize ;数据块的长度 } 数据目录项通常共有16项,它们的详细说明如下: 英文描述 中文描述 ...
PE文件格式中数据目录项中的资源
qq_35426012的博客
11-16 448
资源 资源地址在数据目录的数组下标为2的地方,定位到资源后就可以遍历资源 资源是树形结构,一般有3层 根目录目录 文件 根目录结构结构体如下定义 typedef struct _IMAGE_RESOURCE_DIRECTORY { DWORD Characteristics;          资源属性 DWORD TimeDateStamp;        ...
PE文件结构 - 数据目录学习
bcbobo21cn的专栏
03-20 1771
数据目录,是一个结构体数组。数组里的每个元素对应一个数据。通常有16个。 数组每个元素都是一个结构体,结构体如下 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress;// 数据的起始虚拟地址 DWORD Size;// 数据大小 }IMAGE_DATA_DIRECTORY,*IMAGE_DATA_DIRECTORY 16个数据依次如下: 导出导入、资源、异常处理、安全、...
PE解析器的编写(四)——数据目录的解析
Masimaro的专栏
05-08 1921
PE结构中最重要的就是区块数据目录,上节已经说明了如何解析区块,下面就是数据目录,在数据目录中一般只关心导入导出和资源这几个部分,但是资源实在是太复杂了,而且在一般的病毒木马中也不会存在资源,所以在这个工具中只是简单的解析了一下导出导出。这节主要说明导入,下节来说导出。 RVA到fRva的转化 RVA转化为fRva主要是通过某个数据在内存中的相对偏移地址到其在文
pe格式从入门到图形化显示(六)-数据目录
最新发布
Mrack的博客
04-07 675
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE(Portable Executable)文件格式中的数据目录是一个,它提供了关于PE文件中各种数据结构和资源的位置信息。数据目录位于PE文件头的可选头(Optional Header)部分,紧跟在标准PE头之后。PE文件格式中的数据目录总共有16个1、导出目录(Export Directory):包含有关从PE文件导出的函数和数据的信息。
PE_Info.rar_PE加壳_pe_pe_info_pe文件_加壳
09-23
在IT领域,特别是软件逆向工程和安全分析中,"PE加壳"是一个重要的概念。PE(Portable Executable)文件格式是Windows操作系统中用于执行程序的文件格式。"加壳"则是指对PE文件进行包装,以隐藏或保护其内部代码和...
The_PE_file_format.zip_PE_Format_pe_pe文件_pe文件格式
09-14
理解PE文件格式对于Windows系统编程、逆向工程和恶意软件分析至关重要。通过分析PE文件的各个组成部分,我们可以了解程序的结构、依赖关系和行为。同时,PE文件格式的灵活性使得它能够适应多种复杂的应用场景,成为...
Stud_PE.rar_pe文件_stud _stud pe功能_stud_pe
09-22
2. **PE文件解析**:可以详细展示PE文件的内部结构,包括节区、导入导出、资源、线程局部存储区(TLS)等信息,这对于开发者和逆向工程师来说是必不可少的。 标签中的“pe文件”、“stud_pe功能”、“stud_pe”...
pedump_src.rar_PE格式_Pe-file_infector_pe_pe dump_pedump
09-19
此外,源码分析还可以帮助理解如何正确处理PE结构中的异常情况,如何优化性能,以及如何实现更高效的数据结构和算法。 总的来说,这个压缩包提供了一个深入学习PE格式、逆向工程和安全分析的宝贵资源。通过阅读和...
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1326
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录导出导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE文件常用数据目录遍历方法
weixin_30507269的博客
07-20 287
说明:AppendStrData(char *):向RichEdit添加字符串    AppendSectionData(char *,RGB):向RichEdit添加有颜色的字符串 导入: void GetImportTable() { AppendSectionData("\n导入:\r\n",RGB(00,0xBB,0)); if (pNtHeade...
PE文件解析--导出
qq_31125257的博客
12-22 1629
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
PE文件格式中数据目录项中的导出和模拟GetProcAddress
qq_35426012的博客
11-15 421
导出 导出的概念 记录了导出符号(函数或变量)的地址,名称,与序号的集合的一张导出 导出的作用 通过导出来分析不认识的动态库文件所提供的功能 向调用者提供导出函数指令在模块中的起始地址,也就是API GetProcAddress的功能 导出有对应导出函数的地址,所以可以通过导出来修正导入的IAT地址 导出结构体定义 导出数据目录项的第0项 IMAGE_DIREC...
PE——PE结构数据
CSDN-ych
03-19 694
PE结构中的数据包主要作用是用于引导操作系统去怎么操作这个文件,大多是为了程序能顺利运行起来做一些前置准备工作。 PE结构中的数据由可选文件头中的DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; 字段来指示。 这个字段中有IMAGE_NUMBEROF_DIRECTORY_ENTRIES个下面的结构,IMAGE_NUMBEROF_DIRECTORY_ENTRIES也就是可选文件头中的NumberOfRvaAndSizes。 struct _IMAGE_DAT
PE文件学习(二)数据目录导出导入
SanSiro1的博客
08-25 4712
数据目录PE中比较重要的一个组成部分,其结构如下: IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]#define IMAGE_DIRECTORY_ENTRY_EXPORT 0 //导出 #define IMAGE_DIRECTORY_ENTRY_IMPORT 1
PowerDesigner逆向工程导入结构
Segara的博客
09-21 2245
PowerDesigner逆向生成结构 PowerDesginer逆向工程提供两种导入结构的方式: Using script files:使用脚本文件,即通过其他软件到处数据结构的.sql文件 Using a data source:使用一个数据库源,直接连接数据库进行导入 Using script files 从Navicat导出.sql文件,该文件保存了数据结构。 这里不再...
利用PE数据目录导入获取函数名及其地址
编程菜鸟---正在努力进阶
06-24 6744
PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出!NT文件头的前4个字节是文件签名(“PE00"字符串),紧接着是20字节的IMAGE_FILE_HEADER结构,它的后面是224字节的IMAGE
23. PE结构-PE详解之输出导出
墨痕诉清风的博客
03-05 3504
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
PE导出中提取特定函数地址的源码打包技巧
PE文件中提取导出函数地址是逆向工程中常见的操作之一,它可以帮助安全研究人员定位程序中函数的调用关系,分析程序的运行机制。 ### PE文件格式概述 PE文件格式由一系列的组成,主要包括: - DOS头(DOS ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值