PE文件导出表简介

最新推荐文章于 2021-12-28 12:48:34 发布
最新推荐文章于 2021-12-28 12:48:34 发布
阅读量238 收藏
点赞数
分类专栏: WIN32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43575859/article/details/104848668
版权

导出表一般存在于 .dll 文件中,偶尔也存在于EXE文件中。PE文件被执行时,Windows装载器将文件装入内存并将导入表登记的DLL文件装入,再把需要导入的函数的地址根据DLL文件导出表中的信息对被执行文件导入表中的IAT表进行修正。所以导出表就是存储了一个文件的导出信息的表,通过导出表DLL文件向系统提供导出函数名称,序号和入口地址等信息,以便Windows装载器来完成动态链接的过程。

导出表的定义如下:

IMAGE_EXPORT_DIRECTORY    STRUCT
    Characteristics            DWORD        ? 
    TimeDateStamp              DWORD        ? ;文件产生时刻
    MajorVersion               WORD         ? 
    MinorVersion               WORD         ?  
    nName                      DWORD        ? ;指向文件名的RVA
    nBase                      DWORD        ? ;导出函数的起始序号
    NumberOfFunctions          DWORD        ? ;导出函数的总数
    NumberOfNames              DWORD        ? ;以名称导出的函数的函数总数
    AddressOfFunctions         DWORD        ? ;指向导入函数地址表的一个RVA
    AddressOfNames             DWORD        ? ;指向函数名地址表的一个RVA
    AddressOfNameOrdinals      DWORD        ? ;指向函数名序号表的一个RVA
IMAGE_EXPORT_DIRECTORY    ENDS

注意别把导出表和导入表的一些性质搞混了,导入表是由一系列IMAGE_IMPORT_DESCRIPTOR结构组成的,而导出表一个文件中就只有一个,所以一个文件就只有一个IMAGE_EXPORT_DIRECTORY结构。

导入表中导入函数时可以通过函数名或者序号来导入,那么对应的,导出表也可以通过序号或者函数名来导出函数。当函数是通过函数名导出时它也同时可以通过序号来导出,而当函数通过序号来导出时它就只能通过序号来导出。

接下来分析一下导出表结构里面的重要字段:

  • nName:指向文件名的RVA,就是DLL的文件名或者少有的EXE文件名的RVA,这个地方的字符串说明了模块的原始文件名。
  • nBase:这个是导出函数的起始序号,我们待会会看到,用函数地址表里面函数的索引加上这个序号才是函数真正的导出序号。
  • NumberOfFunctions:导出函数的总数,就是用名字导出的加上只能用序号导出的函数的总数
  • AddressOfFunctions:一个指向导出函数地址表的RVA,导出函数地址表又是一个双字数组,数组里面存的都是RVA,这些RVA指向导出函数的真正的入口地址。这个数组的长度等于NumberOfFunctions的值
  • AddressOfNames:一个指向函数名地址表的RVA,函数名地址表又是一个双字数组,数组里面存放的也都是RVA,然后这些RVA又指向导出函数名字符串。这个数组的长度等于NumberOfNames的值
  • AddressOfNameOrdinals:一个指向函数名序号表的RVA,函数名序号表是一个单字数组,这次里面存的不是RVA了,里面存放的是函数名地址表中函数在函数地址表里面的索引。这样说似乎很模糊,放个图就明白了

导出函数地址表中函数的索引是按照0,1,2,3,4.....这样的顺序一直排列下去的,而导出函数名地址表中的函数名并不是按照地址表中的顺序依次排列下来的,里面的函数名的顺序是乱的,而它右边的(图片上对应是右边)函数名序号表,按照顺序下来和这个函数名表一 一对应,并且函数名序号表里面存的正好就是对应的函数名在地址表中的索引,这样的话我们就可以通过函数名找到函数名在地址表中的索引,然后再找到函数地址了。

知道这些后,我们又可以写一个查看文件导出表的信息的小程序了,导出表里最重要的肯定就是导出函数了。但是我们不知道一个文件里又哪些导出函数,但是我们知道导出表中导出函数地址的那些函数的索引是按照0,1,2,3......这样的顺序依次下来的,所以加入有n个函数,那么索引就是0到n-1,所以只要我们知道导出函数的数量,然后就可以从0到n遍历查找导出函数序号表,找到每个序号对应的导出函数名,这样就得到了导出函数的名字,然后再通过这个序号(就是索引)找到函数的真正地址,这样就得到了函数的地址。有了索引,函数的真正序号也得到了。

所以大致步骤如下:

  1. 首先定位到PE文件头
  2. 从PE文件头的IMAGE_OPTIONAL_HEADER32结构中取出数据目录第一项的,得到导出表的RVA,进而得到地址
  3. 从导出表中得到起始序号nBase,得到导出函数的总数NumberOfFunctions
  4. 循环遍历导出函数序号表从0到NumberOfFunctions-1,对于每个序号通过计算得到对应的导出函数名的地址,如果该序号没有对应的导出函数名,那么说明这个函数是只能序号导出的。
  5. 再通过序号(索引)在导出函数地址表中找到导出函数的真正地址

资源和框架用的还是和之前的一样,然后转换RVA到文件偏移的函数以节找出数据所在节的函数也是和之前的一样。主要功能实现部分代码如下:
 

​

				.const
				
szMsg	db		'文件名: %s',0dh,0ah
		db		'-------------------------------------------------',0dh,0ah
		db		'导出表所处的节: %s',0dh,0ah
		db		'-------------------------------------------------',0dh,0ah
		db		'原始文件名          %s',0dh,0ah
		db		'nBase			  %08X',0dh,0ah
		db		'NumberOfFunctions	  %08X',0dh,0ah				;导出函数的数量
		db		'NumberOfNames		  %08X',0dh,0ah
		db		'AddressOfFunctions        %08X',0dh,0ah
		db		'AddressOfNames		  %08X',0dh,0ah
		db		'AddressOfNameOrd	  %08X',0dh,0ah
		db		'-------------------------------------------------',0dh,0ah
		db		'导出序号  虚拟地址  导出函数名称',0dh,0ah
		db		'------------------------------------------',0dh,0ah,0
szMsgName		db		'%08X  %08X  %s',0dh,0ah,0
szExportByOrd	db		'(按照序号导出)',0
szErrNoExport	db		'这个文件中没有导出函数!',0

				.code
include			_RvaToFileOffset.asm
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_ProcessPeFile	proc	_lpFile,_lpPeHead,_dwSize
				local	@szBuffer[1024]:byte,@szSectionName[16]:byte
				local	@dwIndex,@lpAddressOfNames,@lpAddressOfNameOrdinals,@Names_RVA
				
				pushad
				mov		esi,_lpPeHead
				assume	esi:ptr IMAGE_NT_HEADERS
;***********************************************************************************************************
;从数据目录中获取导出表的位置
;***********************************************************************************************************
				mov		eax,[esi].OptionalHeader.DataDirectory.VirtualAddress				;获取导出表的起始RVA,因为导出表在数据目录中的索引是0,所以数据目录起始位置就是导出表的目录结构
				.if		! eax
						invoke	MessageBox,hWinMain,\
								addr szErrNoExport,NULL,MB_OK
						jmp		_Ret
				.endif
				invoke	_RVAToOffset,_lpFile,eax
				add		eax,_lpFile								;获取导出表在文件中的地址
				mov		edi,eax
;***********************************************************************************************************
;显示一些常用的信息
;***********************************************************************************************************
				assume	edi:ptr IMAGE_EXPORT_DIRECTORY
				invoke	_RVAToOffset,_lpFile,[edi].nName		;获取导出表文件名在文件中的偏移
				add		eax,_lpFile								;获取导出表的文件名的地址
				mov		ecx,eax
				invoke	_GetRVASection,_lpFile,[edi].nName		;获取导出表所处的节的名称
				invoke	wsprintf,addr @szBuffer,addr szMsg,\
						addr szFileName,eax,ecx,[edi].nBase,\
						[edi].NumberOfFunctions,[edi].NumberOfNames,\
						[edi].AddressOfFunctions,[edi].AddressOfNames,\
						[edi].AddressOfNameOrdinals
				invoke	SetWindowText,hWinEdit,addr @szBuffer
;***********************************************************************************************************
				invoke	_RVAToOffset,_lpFile,[edi].AddressOfNames
				add		eax,_lpFile								;获取导出函数名地址表的地址
				mov		@lpAddressOfNames,eax
				invoke	_RVAToOffset,_lpFile,[edi].AddressOfNameOrdinals
				add		eax,_lpFile								;获取导出函数序号表的地址
				mov		@lpAddressOfNameOrdinals,eax
				invoke	_RVAToOffset,_lpFile,[edi].AddressOfFunctions
				add		eax,_lpFile								;获取导出函数地址表的地址
				mov		esi,eax	
;***********************************************************************************************************
;循环显示导出函数的信息
;***********************************************************************************************************
				mov		ecx,[edi].NumberOfFunctions				;导出函数的数目
				mov		@dwIndex,0
				@@:
				pushad
;***********************************************************************************************************
;按名称导出的索引表中
;***********************************************************************************************************
				mov		eax,@dwIndex
				push	edi
				mov		ecx,[edi].NumberOfNames					;以函数名字的方式导出的函数的个数
				cld
				mov		edi,@lpAddressOfNameOrdinals			;现在EDI指向函数名序号表
				repnz	scasw								
				.if		ZERO?									;在序号表中找到了@dwIndex这个序号,ZF标志位置1
						sub		edi,@lpAddressOfNameOrdinals
						sub		edi,2							;因为找到序号后EDI又向后移动了一个单位,序号表又是以字为单位,所以减2再减去表的起始位置就得到项目相对于函数序号表的偏移
						shl		edi,1							;因为函数名表的单位是双字节,而序号表是字,所以要乘2得到该序号对应的函数名相对于函数名表中的偏移
						add		edi,@lpAddressOfNames			;用函数名相对于导出函数名表的RVA加上导出函数名表的地址,得到该函数名在导出函数名表中对应的地址,而该地址指向一个RVA,该RVA指向该函数名字符串
						invoke	_RVAToOffset,_lpFile,dword ptr [edi]
						add		eax,_lpFile						;得到函数名字的字符串的地址
				.else
						mov		eax,offset szExportByOrd
				.endif
				pop		edi										;edi重新指向导出表结构
;**********************************************************************************************************
				mov		ecx,@dwIndex
				add		ecx,[edi].nBase
				invoke	wsprintf,addr @szBuffer,addr szMsgName,\
						ecx,dword ptr [esi],eax					;序号,地址,名字
				invoke	_AppendInfo,addr @szBuffer				;显示内容
				popad
				add		esi,4									;移动到下一个函数的地址
				inc		@dwIndex								;开始寻找下一个序号的函数
				loop	@B
_Ret:
				assume	esi:nothing
				assume  edi:nothing
				popad
				ret
				
_ProcessPeFile	endp
						

[点击并拖拽以移动]
​

遍历链接后运行:

虾仁炖猪心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件学习(二)数据目录导出与导入
SanSiro1的博客
08-25 4634
数据目录PE中比较重要的一个组成部分,其结构如下: IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]#define IMAGE_DIRECTORY_ENTRY_EXPORT 0 //导出 #define IMAGE_DIRECTORY_ENTRY_IMPORT 1
PE文件学习笔记(一)---导入导出
还木人的博客
10-07 3103
最近在看《黑卡免杀攻防》,对讲解的PE文件导入导出的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入? 导入机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
PE文件-导出
weixin_45012273的博客
11-08 1375
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
11.PE文件导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 4964
目录 导出定位以及解析(手动) 代码定位导出并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
PE-导出
megaparsec
12-19 873
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
编辑/查看DLL文件PE导出工具ExpX-v0.5
05-21
ExpX是一个编辑/查看PE文件导出的工具。 利用它可以方便的对PE文件导出进行增、删、改的操作,现在它还可以用于给没有导出文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等...
PE文件导出函数
01-10
大部分人通过pNTHeader.OptionalHeader.DataDirectory[0].VirtualAddress获取导出函数,但不少DLL需要重新计算偏移,本例通过暴力搜索Section,避免某些情况下读取失败
获取PE文件导出函数列
06-19
获取PE文件导出函数列,提供代码。PE文件是windows的下的文件格式
易语言导入导出PE
07-22
易语言导入导出PE源码,导入导出PE,ExportsDLLFunction,LOWORD,ImageRvaToVa,API_创建文件,API_创建文件映射对象,API_MapViewOfFile,API_UnmapViewOfFile,API_关闭内核对象
Windows PE文件导入导出接口分析工具
11-22
本软件是一个用来分析PE程序文件的输出函数,及其依赖列(导入库及函数名称)的免费工具。 软件无须安装,无任何插件或捆绑软件,只需解压即可运行。 (PE是指Windows操作系统中的可执行文件,比如.exe,.dll,....
PE文件解析--导出
qq_31125257的博客
12-22 1355
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
dll导出结构体_十分钟教你轻松掌握「移动PE导出」,快来学习!
weixin_39611725的博客
11-29 286
今天的文章分享是 i 春秋论坛作者flag0原创的文章,浅析移动PE导出的相关内容,文章未经许可禁止转载!注:i 春秋公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。导出概述导出一般多见于DLL和SYS文件,EXE在少部分情况下拥有导出导出中存储了当前DLL可供调用的函数的地址、函数名称,导出的地址存储在数据目录项的第一个结构中。IMAGE_SECTION_HEADE...
PE文件导出
bailing1370的博客
07-23 170
1、数据目录第一个成员指向导出IMAGE_DATA_DIRECTORY[1] -> IMAGE_DIRECTORY_ENTRY_EXPORT。 1 struct _IMAGE_EXPORT_DIRECTORY 2 { 3 0x00 DWORD Characteristics; 4 0x04 DWORD TimeDateStamp; 5...
PE文件导出解析
windows小菜鸡的博客
08-16 925
1、导出的结构 导出是option可选PE头的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称的RVA,需要转为FOA,每个存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称找到Ordinals下标,然后通过下标在Or
PE结构讲解2--导入和导出
weixin_34366546的博客
08-27 533
本文为转载文章,整理自小甲鱼老师讲的PE结构课程; 一、导入的结构 在 PE文件头的 IMAGE_OPTIONAL_HEADER32 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入(导入)的。而输入是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个被 PE文件链接进来的 DLL文...
pE文件操作--移动导出
qq_31125257的博客
12-28 669
一、什么是导出? 先回顾一下导出的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子;其中地址存储的是导出的函数地址,名称存储的是以名字导出的函数的函数名的RVA,序号存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种? 这些是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些做初始化的工作,如将用到的DLL中的函数地址存储到IAT; 为了
PE文件结构详解(三)PE导出
热门推荐
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
PE文件格式中数据目录项中的导出和模拟GetProcAddress
qq_35426012的博客
11-15 387
导出 导出的概念 记录了导出符号(函数或变量)的地址,名称,与序号的集合的一张导出 导出的作用 通过导出来分析不认识的动态库文件所提供的功能 向调用者提供导出函数指令在模块中的起始地址,也就是API GetProcAddress的功能 导出有对应导出函数的地址,所以可以通过导出来修正导入的IAT地址 导出的结构体定义 导出数据目录项的第0项 IMAGE_DIREC...
PE文件导出
weixin_43742894的博客
04-01 741
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
实验7 pe导出分析及应用
最新发布
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值