遍历导出表

最新推荐文章于 2023-04-07 23:16:48 发布
最新推荐文章于 2023-04-07 23:16:48 发布
阅读量657 收藏 3
点赞数 2
分类专栏: 安全 文章标签: 导出表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43206704/article/details/88023102
版权

1.通过DOS头部找到PE头部

    DOS头部的数据结构如下:
_IMAGE_DOS_HEADER
+0x000 e_magic : Uint2B
+0x002 e_cblp : Uint2B
+0x004 e_cp : Uint2B
+0x006 e_crlc : Uint2B
+0x008 e_cparhdr : Uint2B
+0x00a e_minalloc : Uint2B
+0x00c e_maxalloc : Uint2B
+0x00e e_ss : Uint2B
+0x010 e_sp : Uint2B
+0x012 e_csum : Uint2B
+0x014 e_ip : Uint2B
+0x016 e_cs : Uint2B
+0x018 e_lfarlc : Uint2B
+0x01a e_ovno : Uint2B
+0x01c e_res : [4] Uint2B
+0x024 e_oemid : Uint2B
+0x026 e_oeminfo : Uint2B
+0x028 e_res2 : [10] Uint2B
+0x03c e_lfanew : Int4B

    偏移0x3c处是PE头部的相对虚拟地址。

2.通过PE头部找到数据目录项

    PE头部的数据结构如下:

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

_IMAGE_FILE_HEADER
+0x000 Machine : Uint2B
+0x002 NumberOfSections : Uint2B
+0x004 TimeDateStamp : Uint4B
+0x008 PointerToSymbolTable : Uint4B
+0x00c NumberOfSymbols : Uint4B
+0x010 SizeOfOptionalHeader : Uint2B
+0x012 Characteristics : Uint2B
_IMAGE_OPTIONAL_HEADER
+0x000 Magic : Uint2B
+0x002 MajorLinkerVersion : UChar
+0x003 MinorLinkerVersion : UChar
+0x004 SizeOfCode : Uint4B
+0x008 SizeOfInitializedData : Uint4B
+0x00c SizeOfUninitializedData : Uint4B
+0x010 AddressOfEntryPoint : Uint4B
+0x014 BaseOfCode : Uint4B
+0x018 BaseOfData : Uint4B
+0x01c ImageBase : Uint4B
+0x020 SectionAlignment : Uint4B
+0x024 FileAlignment : Uint4B
+0x028 MajorOperatingSystemVersion : Uint2B
+0x02a MinorOperatingSystemVersion : Uint2B
+0x02c MajorImageVersion : Uint2B
+0x02e MinorImageVersion : Uint2B
+0x030 MajorSubsystemVersion : Uint2B
+0x032 MinorSubsystemVersion : Uint2B
+0x034 Win32VersionValue : Uint4B
+0x038 SizeOfImage : Uint4B
+0x03c SizeOfHeaders : Uint4B
+0x040 CheckSum : Uint4B
+0x044 Subsystem : Uint2B
+0x046 DllCharacteristics : Uint2B
+0x048 SizeOfStackReserve : Uint4B
+0x04c SizeOfStackCommit : Uint4B
+0x050 SizeOfHeapReserve : Uint4B
+0x054 SizeOfHeapCommit : Uint4B
+0x058 LoaderFlags : Uint4B
+0x05c NumberOfRvaAndSizes : Uint4B
+0x060 DataDirectory : [16] _IMAGE_DATA_DIRECTORY

    PE头部的DataDirectory相对于PE头部的偏移为0x78。
    DataDirectory的第一项为导出表目录。
_IMAGE_DATA_DIRECTORY
+0x000 VirtualAddress : Uint4B
+0x004 Size : Uint4B
     可以根据第一个字段寻找到导出表。

3.导出表数据结构

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

    NumberOfFunctions字段是总的导出函数个数;NumberOfNames字段是有名字的函数个数;AddressOfNames是函数的名称字符串相对虚拟地址;AddressOfNameOrdinals是与AddressOfNames一一对应的此函数在AddressOfFunctions里的索引;AddressOfFunctions存的函数的相对虚拟地址。

4.遍历导出表

    遍历导出表中NumberOfNames个有名称的函数,并根据AddressOfNameOrdinals里的索引找到其在AddressOfFunctions里存放的地址。

以遍历user32.dll的导出表为例:

#include <stdio.h>

#include <Windows.h>

int main()
{
	HMODULE hDll = LoadLibraryA("user32.dll");
	if (!hDll)
		return 0;


	IMAGE_EXPORT_DIRECTORY* exportDir;

	int baseAddr = (int)hDll;
	int RVA, VA;

	RVA = *((int*)(baseAddr + 0x3c)); 
	VA = baseAddr + RVA; // File address of new exe header
	VA += 0x78; //DataDirectory
	RVA = *((int*)VA);
	exportDir = (IMAGE_EXPORT_DIRECTORY*)(baseAddr + RVA);

	int* RVAFunctions = (int*)(baseAddr + exportDir->AddressOfFunctions);
	int* RVANames = (int*)(baseAddr + exportDir->AddressOfNames);
	short* Ordinals = (short*)(baseAddr + exportDir->AddressOfNameOrdinals);

	int i, VAFunction, ordinal;
	int numName = exportDir->NumberOfNames;
	for (i = 0; i < numName; i++)
	{
		ordinal = *(Ordinals + i);
		RVA = *(RVAFunctions + ordinal);
		VAFunction = baseAddr + RVA;

		RVA = *(RVANames + i);
		VA = baseAddr + RVA;

		printf("%d: %s - 0x%x\n", ordinal, (char*)VA, VAFunction);
	}
	
	return 0;
}

验证正确性:
    在代码语句最后调用MessageBoxA函数。控制台中打印的关于MessageBoxA的地址为0x775b7e60:
在这里插入图片描述
    再调试进入MessageBoxA函数,起始地址也为0x775b7e60:
在这里插入图片描述

IDoubleTong
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ParseWord07Test(EasyPOi word隐藏边框+图片遍历导出
05-11
ParseWord07Test(EasyPOi word隐藏边框+图片遍历导出) ParseWord07Test(EasyPOi word隐藏边框+图片遍历导出
导出数据到Excel,遍历POJO属性
qq_53318060的博客
06-16 323
如何返回List 类型。遍历一个POJO对象的属性名 也可以直接打印 f,会显示的更完整,包括类型,访问类型什么的。 遍历一个POJO对象的属性值 遍历类的字段属性及其字段值 工具类: Controler:控制器方法 Illegal reflective access by org.apache.poi.util.DocumentHelper升级模块版本 springboot导出数据到excel SpringBoot实现Excel导入导出当浏览器在请求资源时,会通过http返回头中的conten......
C/C++ 获取 PE 文件导出
CSDN
07-16 5381
它首先读取PE文件的DOS头、NT头和节区头,然后计算导出的RAW偏移,并读取导出的相关信息,包括导出函数的名称、序号和地址。例如,您可以根据函数的名称或序号查找特定的导出函数,或根据函数的RVA计算其在文件中的偏移位置等。请注意,此示例假定输入的PE文件具有有效的导出,并且是使用64位的NT头。请确保您的开发环境中包含了所需的头文件和库文件,并按照您的编译环境进行适当的配置和调整。请注意,此示例仅打印了导出的部分内容,您可以根据需要进行进一步的处理和分析。
PE 导出
不会写代码的丝丽
04-09 643
名称寻址 我们下window经常导出函数,因此在动态库我们往往有一个特殊结构叫做导出。 Microsoft官方文档说明 我们首先看一个导出模块信息 #export.def EXPORTS MsgBox Foo TestFunc ABCDFunc 上面我们导出四个函数且是名称导出 我们的导出地址位于NT头中数据目录的第一项。 这个导出目录的位于虚拟地址的2060h处 换算成文件地址为660h 相关的数据结构 对应上面的数值我们得出以下数据 Field Value 备注 E
[C++实现&C#调用] 如何遍历DLL导出函数
八宝咸鱼
04-07 1452
接下来,函数使用PE文件格式的导出来查找模块中的导出函数.具体来说,它首先通过模块句柄(HMODULE)获取PE文件的DOS头(IMAGE_DOS_HEADER)和NT头(IMAGE_NT_HEADERS),然后使用导出数据目录中的地址(IMAGE_DIRECTORY_ENTRY_EXPORT)获取导出结构(IMAGE_EXPORT_DIRECTORY).导出结构包含有关导出函数的信息,例如函数数量、名称指针、地址和序号.然后,我们查找指定函数名称在字符串中的位置,并提取相关的信息。
C语言遍历导入导出
VI___
07-06 2038
通过C语言遍历PE文件的导入导出
补:PE文件遍历导出——有人为你哭,说明你还是个东西
sxr__nc的博客
04-16 560
之前一直要写的遍历导出,一直没写,最近回去复习了一下PE结构关于IAT和EAT的内容,写了个遍历导出的程序,也算是结了之前文章里说的话吧。 源码: // ExportTable.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include<windows.h> using namespace s...
遍历导入(上课代码)
weixin_30596165的博客
03-28 127
// 02 遍历导入.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> //************************************ // Method: IsPeFile // FullName: IsPeFile // Access: public ...
JAVAeasypoi根据Excel模板导出 循环遍历合并单元格处理
03-31
【JAVA】easypoi根据Excel模板导出 循环遍历合并单元格处理
Delphi7对Excel遍历+数据导出Txt
09-28
使用Delphi对需要的Excel进行遍历遍历完成之后,支持导出Txt文件。
C语言实现遍历注册
01-31
指定注册中的项,将该项下的所有子项以及键值导出,写成txt文本文件。 指定注册中的项,将该项下的所有子项以及键值导出,写成txt文本文件。
遍历文件文件夹并导出到XML
07-09
简单的小例子,输入文件路径后可对路径进行遍历导出到XML,生成Log文件。对便利文件或导出XML不是很理解的话可以参考。只是闲暇时写的,并没有任何校验。
导出_eat_遍历
05-27 510
#include &lt;ntifs.h&gt; #include &lt;ntimage.h&gt; #define SystemModuleInformation 11 typedef unsigned char BYTE; typedef unsigned short WORD; typedef struct _SYSTEM_MODULE_INFORMATION // 系统模块信息 { ...
PE结构导出详细解析
huobengle
01-27 504
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
遍历导出(上课代码)
weixin_30764771的博客
03-28 92
// 01 遍历导出.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" //************************************ // Method: IsPeFile // FullName: IsPeFile // Access: public //...
【转载】遍历pe导出
weixin_30830327的博客
06-16 135
optional头的最后一个域是一个数组列,该数组大小为16,元素为IMAGE_DATA_DIRECTORY,至于以后平台是否会增加,说不清楚,但是FileHeader中明确给出了该数组的大小。该数组的第一个元素就是指向输出的。而输出的定义如下:typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; D...
VC遍历dll导出函数
friendan的专栏
05-15 3048
参考文章:http://www.ccrun.com/article.asp?i=653&d=b2m5o1 代码:
PE导出(输出)学习笔记
tzwj1983的博客
03-19 1918
导出
IDA修改汇编指令
热门推荐
IDoubleTong的博客
01-21 2万+
写一段小程序 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;string.h&amp;gt; int main() { char password[1024]; while (true) { printf(&quot;please input password:\t&quot;); scanf(&quot;%s&quot;, password);
用树的前序遍历和中序遍历可以导出树的后序遍历
最新发布
01-09
根据给定的前序遍历和中序遍历,可以唯一确定二叉树的后序遍历。下面是一个示例: 假设给定的前序遍历为:[F, D, X, E, A, G] 假设给定的中序遍历为:[X, D, E, F, A, G] 首先,我们可以确定前序遍历的第一个元素...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值