Windows:PE格式之输出表

最新推荐文章于 2022-05-03 12:08:52 发布
最新推荐文章于 2022-05-03 12:08:52 发布
阅读量359 收藏
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43249758/article/details/115117054
版权
本文详细解析了PE文件中通过函数序号和名称获取导出函数地址的原理,包括数据目录表结构、函数地址查找流程,并通过实例演示了如何从dll中找到导出函数的入口地址。总结了通过函数名在函数名字符串表中查找索引,再通过函数名序号表获取序号,最后在入口地址表中找到函数入口地址的过程。
摘要由CSDN通过智能技术生成

文章目录

数据结构

数据目录表的第一个成员指向的地址就是输出表,其数据结构如下
在这里插入图片描述
字段说明:
Name:RVA值,指向dll在编译时的名称的字符串。

Base:导出函数序号的起始值。即入口地址表中第一个函数的序号。

NumberOfFunctions:导出函数总数。

NumberOfNames:有函数名称的导出函数个数,此种导出函数既可以用函数名导出,又可以用序号方式导出。

AddressOfFunctions:RVA值,指向一个包含全部导出函数入口地址的DWORD数组,即入口地址表,此表各项按序号排列。

AddressOfNames:RVA值,指向函数名字符串表,此表在通过函数名称获取地址时要用到。表中每一项都是DWORD型的RVA,各指向一个函数名字符串,表中共有NumberOfNames项。

AddressOfNameOrdinals:RVA值,指向函数名序号表,此表在通过函数名称获取地址时要用到,每项都是WORD。

获取函数地址

在这里插入图片描述有两种方式:通过序号获取函数地址和通过函数名获取函数地址。

通过序号获取函数地址

原理

在这里插入图片描述
这种方式虽然较简单,没有用到AddressOfNamesAddressOfNameOrdinals这两个字段,但存在缺陷:如果PE文件经过编辑,修改了导出函数,那么入口地址表就会改变,导致第4步中索引错误,这是致命的。

通过名称获取函数地址

原理

在这里插入图片描述

实例

一个简单的libdll_generate.dll,只有一个导出函数MyAdd,现在来模拟一下Windows的PELoader是如何通过函数名称找到其入口地址的。
在这里插入图片描述LordPE查看导出表的RVA为92000H
在这里插入图片描述
看下区段表
在这里插入图片描述
此RVA在.edata节中偏移量为0的位置,转FO为8EC00
用C32ASM跟进
在这里插入图片描述
图中标蓝即为IED结构体,共40B
看下Name字段
在这里插入图片描述
Base字段,起始序号为1,此种方法中Base字段无用。
在这里插入图片描述
其余同理,知
导出函数总数:1
有名称的导出函数数:1

函数名字符串表的RVA:
在这里插入图片描述

其指向的字符串表:
在这里插入图片描述循环查找各表项指向的字符串,如果找到字符串与待查找的目标字符串匹配,则记下此字符串在函数名字符串表中的索引,此处为0。

函数名序号表:
在这里插入图片描述在函数名序号表中取出下标为0的WORD数据,即为此函数的序号,此处是0。

入口地址表:
在这里插入图片描述
上一步得到其序号为0,所以在入口地址表中取出下标为0的DWORD数据,即为此函数的入口地址,此处为00001450H

用Depends验证一下,无误
在这里插入图片描述

总结

此种方式实际上可以总结为:根据函数名在函数名字符串表中查找,获得其索引值,然后在函数名序号表中相同的索引位置获得此函数的序号,最后在函数入口地址表中根据序号获得其入口地址。

无名J0kзr
关注
专栏目录
PE输出表模块.rar
04-05
总结起来,PE输出表模块是Windows编程中的关键概念,它涉及到程序的动态链接和函数调用。通过易语言的PE输出表模块源码,我们可以深入了解这一机制,并运用到实际项目中,提升我们的编程技能和解决问题的能力。
易语言源码易语言PE输出表模块源码.rar
02-17
在“易语言源码易语言PE输出表模块源码.rar”这个压缩包中,包含的是易语言用于处理PE(Portable Executable)格式文件的输出表模块的源代码。 PE文件格式Windows操作系统中执行程序的标准格式,它包含了程序运行...
windows PE文件格式详解
04-21
PE文件格式详解
PE-导出表
megaparsec
12-19 943
导出表 导出表描述了导出表所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出表存在于动态链接库文件里。导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出表作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出表。 通常情况下,导出表存在于动态链接库文件里。 导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
23. PE结构-PE详解之输出表(导出表)
墨痕诉清风的博客
03-05 3470
为每一个程序写一个相同的函数看起来似乎有点浪费空间,因此Windows就整出了动态链接库的概念,将一些常用的函数封装成动态链接库,等到需要的时候通过直接加载动态链接库,将需要的函数整合到自身中,这样就大大的节约了内存中资源的存放。如图: 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的...
PE格式解析-导出表分析
走在成长的路上
12-25 1596
关于于PE文件中导出表的格式解析
PE文件格式学习(三):导出表(Export)
tutucoo
11-07 506
1.回顾 上篇文章中介绍过,可选头中的数据目录表是一个大小为0x10的数组,导出表就是这个数组中的第一个元素。 我们再回顾下数据目录表的结构体: struct _IMAGE_DATA_DIRECTORY {     DWORD VirtualAddress;     DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DA...
易语言PE输出表模块源码.zip易语言项目例子源码下载
03-23
在本压缩包“易语言PE输出表模块源码.zip”中,包含了一个易语言项目的源代码,主要涉及的是PE(Portable Executable)文件格式输出表模块。 PE文件格式Windows操作系统中用于执行程序的标准格式。它包含了代码...
PE输出表模块易语言源码
05-27
通过研究PE输出表模块的源码,不仅可以提升对Windows系统底层机制的理解,还能增强在易语言环境下的编程能力,对于提升软件开发技能大有裨益。对于那些热衷于系统编程、逆向工程或者易语言学习者来说,这是一个...
易语言-PE输出表模块易语言
06-29
同时,通过查看和分析PE输出表模块,也可以了解到易语言是如何与Windows系统底层进行交互的,这对于提升对易语言以及操作系统级别的理解大有裨益。 易语言模块源码的学习是一个实践与理论相结合的过程。在阅读和...
11.PE文件之导出表(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5527
目录 导出表定位以及解析(手动) 代码定位导出表并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出表 PE中的导出表通常存在于动态链接库文件里.有些EXE也会存在导出表.导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入表中登记的与该动态链接库相关的由INT指
代码分析windowsPE文件格式结构,并附带PE文件格式详细图解
关注互联网安全的小虾米一枚
10-09 4104
#include #include #include // Data Directory Description char szDataDirectory[ 16] [ 64] = { "Export Directory" , "Import Directory" , "Resource Directory" , "Exception Directory"
PE文件结构(四) 输出表
billvsme的专栏
10-06 2397
PE文件结构(四) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输出表 一般来说输出表存在于dll中。输出表提供了 文件中函数的名字跟这些函数的地址, PE装载器通过输出表来修改IAT。 IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 开始的。 IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXP
RVA to RAW?汇编程序输出PE文件导入/导出表
m0_52196359的博客
11-16 2082
汇编程序输出PE导入表,导出表
PE结构:导入/导出表
Arshion的博客
10-21 890
PE结构:导入/导出表 导入导出表是PE文件中重要的两张资源表,这两张表会在PE文件执行是被加载进入内存,RVA在映像可选头部的数据目录表中可以查询。 一般会被放在.rdata(资源数据段)中 EXPORT 导出表 DLL链接库文件中的函数有两种导出方式:按名字与按序号 导出表格式 EXPORT { ​ DWORD Export flags; //保留,必须为0 ​ DWORD Time/Data_Stamp //导出表创建的时间戳 ​ WORD MajorVersion //主版本号,可
PE导出表
只为改变自己
05-03 423
PE导出表知识
PE格式详细讲解9 - 系统篇09|解密系列
weixin_34067980的博客
06-29 141
PE格式详细讲解9-系统篇09 让编程改变世界 Change the world by program 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导出表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 基础补充: 很多朋友可能看到这里...
PE导出表(输出表)学习笔记
tzwj1983的博客
03-19 1940
导出表
PE文件-导出表
weixin_45012273的博客
11-08 1424
导出表 导出表一般用于DLL文件,DLL导出了什么函数都记录在导出表上,在数据目录的第1项,下标为0 导出表结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
C++编程:文件操作与PE格式解析
PE格式不仅包含程序的机器代码,还有资源、导入和导出表等信息。虽然理论上可以直接填充数据创建这样的文件,但这需要深入理解PE格式的细节,包括节区、重定位、导入和导出等概念,通常这不是初学者的任务。 在C++...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值