PE基础3-资源表-重定位表-TLS表-DLL延迟加载表

最新推荐文章于 2023-04-15 15:50:33 发布
最新推荐文章于 2023-04-15 15:50:33 发布
阅读量222 收藏
点赞数
原文链接:http://www.cnblogs.com/ltyandy/p/11093641.html
版权

PE基础3

导入表的作用是什么? 没有它exe能运行吗?

导入外部模块,提供的API,变量,类 可以没有导入表(这个程序没有用到其它模块)

导出表的作用是什么? 没有它exe能运行吗?

导出模块名,函数(序号),变量,类 通常导出表用于dll,没有导出表程序也可以运行

已知一个dll名,和一个dll导出函数的名字,如何得到这个函数名的地址?

导出表中查找 ENT(导出名称表) EOT(导出序号表) EAT(导出地址表)

 

怎么才能知道一个exe都使用了哪些API?

通过遍历导入表(INT,IAT)

如何判断导入函数是以序号导入或是以名称导入?

IMAGE_THUNK_DATA.DWORD 最高位1,说明序号导入

IMAGE_THUNK_DATA.DWORD 最高位0,说明名称导入

怎么才知道导出函数是仅以序号导出还是以名称导出?

遍历导出地址表,再遍历导出序号表,序号表中的值与导出地址表下标对应,

说明这个函数是名称导出, 如果序号表中的值没有与地址表下标对应,那么它是序号导出(序号+BASE)

 

资源表

概述

windows的资源有菜单、图标、快捷键、版本信息以及其它未格式化的二进制资源比如菜单、图标、快捷键、 版本信息以及其它未格式化的二进制资源。。。

资源由三层一样的结构体组成

第一层:资源的类型是什么(图标,位图,菜单....)

第二次:资源的叫什么名字 (1.png, 2.png)

第三层:资源的语言,资源的信息(大小,文件中位置)

 

 

资源表结构

资源表位于数据目标表,下标为2

资源目录结构体

typedef struct _IMAGE_RESOURCE_DIRECTORY {  
    DWORD   Characteristics;        // (1) 资源属性标识 
    DWORD   TimeDateStamp;      // (2) 资源建立的时间  
    WORD    MajorVersion;       // (3) 资源主版本 
    WORD    MinorVersion;       // (4) 资源子版本  
    WORD    NumberOfNamedEntries;   // (5) 资源名称条目个数   
    WORD    NumberOfIdEntries;  // (6) 资源ID条目个数 
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;
typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY { 
    union {      
        struct {      
            DWORD NameOffset   :31; // (1) 资源名偏移   
            DWORD NameIsString:1;   // (2) 资源名为字符串  
       };     
        DWORD   Name;               // (3) 资源/语言类型   
        WORD    Id;                 // (4) 资源数字ID    
   };   
    union {   
        DWORD   OffsetToData;       // (5) 数据偏移地址    
        struct {          
            DWORD   OffsetToDirectory:31;// (6) 子目录偏移地址    
            DWORD   DataIsDirectory   :1;// (7) 数据为目录  
       }; 
   };
}IMAGE_RESOURCE_DIRECTORY_ENTRY,*PIMAGE_RESOURCE_DIRECTORY_ENTRY;

当资源的名字为字符时,它指向这样一个结构体

typedef struct _IMAGE_RESOURCE_DIR_STRING_U {  
    WORD    Length;     // (1) 字符串长度  
    WCHAR   NameString[ 1 ];    // (2) 字符串数组 
} IMAGE_RESOURCE_DIR_STRING_U,*PIMAGE_RESOURCE_DIR_STRING_U;

最后一层指向真正数据的信息

typedef struct _IMAGE_RESOURCE_DATA_ENTRY {  
    DWORD   OffsetToData;   // (1) 资源数据的RVA  
    DWORD   Size;       // (2) 资源数据的长度  
    DWORD   CodePage;       // (3) 代码页    
    DWORD   Reserved;       // (4) 保留字段 
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;
解析资源表
//获取资源表
PIMAGE_RESOURCE_DIRECTORY PE::GetResourceDirectory()
{
    //资源表位于数据目录表, 下标为2
    DWORD dwResourceRva = 
        GetNtHeader()->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress;
​
    DWORD dwResourceFoa = RvaToFoa(dwResourceRva) + (DWORD)m_pBuff;
​
    return (PIMAGE_RESOURCE_DIRECTORY)(dwResourceFoa);
}
//自定义
const WCHAR* RES[20] = {
    L"光标",
    L"位图",
    L"图标",
    L"菜单",
    L"对话框",
    L"字符串列表",
    L"字体目录",
    L"字体",
    L"快捷键",
    L"非格式化资源",
    L"消息列表",
    L"鼠标指针数组",
    L"NULL",
    L"图标组",
    L"NULL",
    L"版本信息",
};
​
//显示资源表
void PE::ShowResourceInfo() {    //1. 获取资源目录表 
    PIMAGE_RESOURCE_DIRECTORY pResourceOne = GetResourceDirectory();   
    //获取资源数组项  
    PIMAGE_RESOURCE_DIRECTORY_ENTRY pResouceOneEntry =         (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pResourceOne + 1);
    //1.2 遍历所有资源类型  
    //资源总个数  
    DWORD dwResourceNumber = pResourceOne->NumberOfIdEntries + pResourceOne>NumberOfNamedEntries;  
    for (int i = 0; i < dwResourceNumber; i++)   
    {      
        //1.3 判断资源类型,是数字还是字符串    
        if (pResouceOneEntry[i].NameIsString)   
        {          
            //资源ID是字符串     
            //那么NameOffset 有效(基于资源表的偏移)   
            PIMAGE_RESOURCE_DIR_STRING_U szName =                 (PIMAGE_RESOURCE_DIR_STRING_U)(pResouceOneEntry[i].NameOffset + (DWORD)pResourceOne); 
            TCHAR szBuff[100];    
            wcsncpy_s(szBuff, szName->NameString, szName->Length);  
            printf("%S\n", szBuff);    
        }       
        else {   
            //资源ID是数字      
            // 系统定义的 0 - 16 
            if (pResouceOneEntry[i].Id < 16) 
            {     
                wprintf(L"%s\n", RES[pResouceOneEntry[i].Id]); 
            }    
            // 自定义的    
            else {     
                printf("%02d\n", pResouceOneEntry[i].Id);
            }    
        }    
        //2 解析第二层数据   
        //2.1 是否有第二层数据    
        if (pResouceOneEntry[i].DataIsDirectory)    
        {         
            //2.2 获取第二层资源表     
            PIMAGE_RESOURCE_DIRECTORY pResourceTwo =                 (PIMAGE_RESOURCE_DIRECTORY)(pResouceOneEntry[i].OffsetToDirectory + (DWORD)pResourceOne);            //获取资源数组项       
            PIMAGE_RESOURCE_DIRECTORY_ENTRY pResouceTwoEntry =                (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pResourceTwo + 1);
            //这种资源有多少个    
            DWORD dwNumber2 = pResourceTwo->NumberOfIdEntries + pResourceTwo>NumberOfNamedEntries;
            //2.3 遍历资源    
            for (int i = 0; i < dwNumber2; i++)      
            {           
                //资源名字是 数字,还是字符串   
                if (pResouceTwoEntry[i].NameIsString)  
                {           
                    PIMAGE_RESOURCE_DIR_STRING_U szName =                        (PIMAGE_RESOURCE_DIR_STRING_U)(pResouceTwoEntry[i].NameOffset + (DWORD)pResourceOne);
                    TCHAR szBuff[100];  
                    wcsncpy_s(szBuff, szName->NameString, szName->Length);   
                    printf("    %S\n", szBuff);
                    
                }          
                else {       
                    printf("   %02d\n", pResouceTwoEntry[i].Id);  
                }       
                //3. 解析第3层  
                //3.1 是否有第三层数据   
                if (pResouceTwoEntry[i].DataIsDirectory)   
                {             
                    //3.2 获取第三层资源表           
                    PIMAGE_RESOURCE_DIRECTORY pResourceThree =                        (PIMAGE_RESOURCE_DIRECTORY)(pResouceTwoEntry[i].OffsetToDirectory + (DWORD)pResourceOne);                   PIMAGE_RESOURCE_DIRECTORY_ENTRY pResourceThreadEntry =                        (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(pResourceThree + 1);
                    //第三层 执行真正数据                    
                    PIMAGE_RESOURCE_DATA_ENTRY pResourceData =                        (PIMAGE_RESOURCE_DATA_ENTRY)(pResourceThreadEntry->OffsetToData + (DWORD)pResourceOne);                   
                    printf("            资源位置 %08X,资源大小 %02d\n", pResourceData>OffsetToData, pResourceData->Size);
              
                }    
            }     
        }   
    }
}

 

 

转载于:https://www.cnblogs.com/ltyandy/p/11093641.html

weixin_30634661
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
重定位结构解析
ChuMeng1999的博客
10-24 788
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节头解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件重定位结构
PE文件TLS(线程局部储存)
weixin_43742894的博客
04-02 1349
PE文件学习——TLS(线程局部存储)
PE-重定位
qq_51600802的博客
10-27 924
按照上述思路,可写代码打印重定位的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE格式第八讲,TLS(线程局部存储)
weixin_30615767的博客
10-20 149
            PE格式第八讲,TLS(线程局部存储) 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶复习线程相关知识 首先讲解TLS的时候,需要复习线程相关知识, (thread local storage) 1.了解经典同步问题 首先我们先写一段C++代码,开辟两个线程去跑,看看...
PE文件格式学习(十二):TLS(TLSDirectory)
tutucoo
11-08 2368
1.介绍 TLS全称线程局部存储器,它用来保存变量或回调函数。 TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。 TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。 TLS变量的创建方...
重定位详解
For Geek
05-10 3870
重定位对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位作为一个单独的区块放到区块中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PE檔案格式.rar_pe
09-19
- **重定位**:由于PE檔案可能在不同的内存地址加载,因此需要重定位信息来修正内部指针。 - **节映射**:节的内存地址可能不同于其在磁盘上的位置,节映射描述了这一映射关系。 5. **资源** - **资源**:...
PE格式详解
12-30
- 在某些情况下,PE文件支持延迟加载DLL,即只有在实际使用到时才加载,这样可以提高程序启动速度。 理解PE格式对于开发Windows应用程序、逆向工程、病毒分析和系统调试都至关重要。通过深入学习PE格式,开发者能...
软件加密技术内幕
03-19
1.2.11 基址重定位(Base Relocations) 1.2.12 调试目录(DebugDirectory) 1.2.13 NET头部 1.2.14 TLS初始化 1.2.15 程序异常数据 第2章 PE分析工具编写 2.1 文件格式检查 2.2 FileHeader和OptionalHeader...
Windows Process Analysis Tools (Windows程序分析工具源码)
11-27
主要功能:查看进程,线程,模块,堆内存,窗口,挂起线程,结束线程,卸载模块,CPU使用率,内存使用率,附加pe文件解析,支持查看导入,导出,重定位,资源,TLS,延迟加载等.. 附加功能:dll注入(win32/x64),无模块Pe...
重定位的添加/编辑/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
重定位
weixin_43990313的博客
07-12 620
概述 数据目录项的第6个结构,就是重定位。 结构 重定位的结构 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; DWORD SizeOfBlock; } IMAGE_BASE_RELOCATION; typedef IMAGE_BASE_RELOCATION ,* PIMAGE_BASE_RELOCATION; 该结构体有两个成员:一个是地址,一个是大小。如下图所示:一个重定位由多个大小SizeOfB
解析重定位
最新发布
tscg_的博客
04-15 209
每个程序都会有一个4GB的虚拟内存,不是真正的物理内存。就相当于玩原神这样的游戏,角色往前走,前面生成地图,后面删除地图,移动起来就相当于一个最多4GB大小的游戏世界。其中,高2G的是内核使用的空间。也就是说,3环程序处理底2G内存,内核程序处理高2G内存。而一个程序里面可以有许多个PE文件。其中,dll程序的PE文件通常贴在高位,一般像71B10000这样以7开头的地址很有可能就是dll程序。
CSS中position中的各个属性
weixin_44139167的博客
09-11 600
static:position中默认元素,没有定位,出现在正常的流中。 relative:相对定位,可以利用left,right,top,bottom来给元素定位,所以变成相对定位。 absolute:绝对定位,是相对于除了static以外的第一个父元素进行定位,使用left right top bottom定位。 fixed:也是绝对定位,但是和absolute的绝对地位不一样,fixed相对于...
pe启动逻辑记录[TLS_0]
weixin_30587927的博客
07-30 323
摘自reactos 1 /********************************************************************** 2 * NAME 3 * LdrPEStartup 4 * 5 * DESCRIPTION 6 * 1. Relocate, if needed the EXE. 7 * ...
PE文件格式TLS回调
BeanJoy的专栏
12-28 2959
从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于调试
(未完待续)Windows PE 文件加壳学习笔记
silvasaga的专栏
11-05 1961
要想给PE文件加壳,搞清楚PE文件的格式是前提。以可执行程序EXE文件为例, 由描述程序信息的文件头和记录代码数据的节组成。文件头包括DOS文件头, PE文件头, PE可选信息头组成下面给出个结构的C定义(在windos开发包 winnt.h 文件中可以找到)typedef struct _PE_IMAGE_DOS_HEADER {   // DOS .EXE header    WORD   e
ELF 解析所以重定位节 包含REL RELA
ylcangel的专栏
07-20 4606
ELF 解析所以重定位节 包含REL RELA,
TencentOS-tiny开发入门:从硬件到云端对接
3. 基础内核实验: - Hello_world工程:通过打开并编译预设的示例工程,了解TencentOS tiny的基本用法。 - 下载运行:通过ST-Link将程序下载到开发板上并运行,验证系统功能。 - 查看运行结果:观察并分析运行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值