PE结构之导出表

已于 2024-10-09 21:57:14 修改
阅读量53 收藏
点赞数
分类专栏: PE格式学习 文章标签: c windows PE
于 2024-10-09 21:37:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43751677/article/details/142797167
版权
导出表结构中各种值的意义
​​​​​​

 根据函数地址表遍历函数名称RVA表,和上面的图是逆过程

//函数地址表 和当前内存中的位置
		DWORD AddressOfFunctionsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfFunctions);
		PDWORD LPFunctionsAddressInMemary = (PDWORD)((char*)LPdosHeader + AddressOfFunctionsFOA);
		//名称序号表的FOA 和在当前内存的位置
		DWORD AddressOfNameOrdinalsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNameOrdinals);
		PWORD WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);

		//名称字符串RVA表和在当前内存的位置
		DWORD AddressOfNamesFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNames);
		PDWORD LPNamesAddressInMemary= (PDWORD)((char*)LPdosHeader + AddressOfNamesFOA);

		//遍历函数地址表 ,
		for (size_t i = 0; i < LPexprotDir->NumberOfFunctions; i++)
		{
			printf("[%d]",i);
			/*-----------------------------------------------
			
				使用.def文件导出函数时,如果序号之间有空位比如
				EXPORTS
				add    @2
				sub    @3 NONAME
				mul    @7
				div1    @8
				那么在函数地址表中就会有 0地址填充
			-------------------------------------------------*/
			if (*LPFunctionsAddressInMemary == 0)
			{
				printf("0x%x\n", *LPFunctionsAddressInMemary);
				continue;
			}
			printf("\t\t\t0x%x", *LPFunctionsAddressInMemary);
			//遍历名称序号表
			/*-----------------------------------------------
			* 如果函数地址表的索引 和 名称序号表中的值相同,说明这个函数
			* 是以名称导出的
			-------------------------------------------------*/
			for (size_t j = 0; j< LPexprotDir->NumberOfNames; j++)
			{

				if (*WPNameOrdinalsInMemary == i)//如果 函数地址表的索引 == 名称序号表中保存的值,说明这个函数是以 名称导出的
				{
					
					printf("\t\t\t\t%d", *WPNameOrdinalsInMemary);
					//输出函数的名称
					/*------------------------------------------------ -
					* 名称序号表的 索引 就对于 函数名称RVA表 的索引
					* 这样就可以去找函数名了
					------------------------------------------------ - */
					char* str = (char*)LPdosHeader + RVAToFOA(LPdosHeader, LPNamesAddressInMemary[j]);
					printf("\t\t\t%s\t\t\t%d\n", str, LPexprotDir->Base+ *WPNameOrdinalsInMemary);
				}

				WPNameOrdinalsInMemary++;
			}
			WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);

			LPFunctionsAddressInMemary++;
		}

我代码抄都抄不明白
关注
专栏目录
PE结构&导出
寻梦&之璐
02-03 3355
导出的作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。但不能简单地认为EXE中没有导出,例如WinWord.exe文件里就有;也不能简单地认为所有的DLL中都有导出,例如一些专门存放资源位文件的DLL里就没有导出。 它的存在可以让程序开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发着只能通过函数名称,反汇编代码或者运行结果对函数的调用方式,函数的功
2.6 PE结构导出详细解析
CSDN
09-07 4770
导出(Export Table)是Windows可执行文件中的一个结构,记录了可执行文件中某些函数或变量的名称和地址,这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中函数的导出信息对可执行文件的导入(IAT)进行修正。
PE结构】4.导出
SMOne
06-24 710
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、其他 1.概念 导出 是指PE文件导出的供其他PE文件使用的函数、变量、或者类的行为。 符号 这些导出的函数、变量、类一般称为符号。 导出 是存储导出的这些符号的。通过导出,能够定位这些符号。 2.导出定位 前面提到的 ...
PE文件(九)导出
最新发布
2301_78838647的博客
07-10 1140
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称RVA我们在硬盘数据找该地址时要先转成FOA,这个地址指向的记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称RVA *
驱动开发:内核解析PE结构导出
CSDN
05-31 8349
参数,本章将继续延申这个话题,实现对PE文件导出的解析任务,导出无法动态获取,解析导出则必须读入内核模块到内存才可继续解析,所以我们需要分两步走,首先读入内核磁盘文件到内存,然后再通过。取出函数的入口RVA,然后通过RVA加上模块基址便是第一个导出函数的地址,向后每次相加导出函数偏移即可依次遍历出所有的导出函数地址。导出函数存储在PE文件的导出里,导出的位置存放在PE文件头中的数据目录中,与导出对应的项目是数据目录中的首个。得到导出的地址,依次循环读取即可得到完整的导出
PE导出
只为改变自己
05-03 430
PE导出知识
PE结构:导入/导出
Arshion的博客
10-21 897
PE结构:导入/导出 导入导出PE文件中重要的两张资源,这两张会在PE文件执行是被加载进入内存,RVA在映像可选头部的数据目录中可以查询。 一般会被放在.rdata(资源数据段)中 EXPORT 导出 DLL链接库文件中的函数有两种导出方式:按名字与按序号 导出格式 EXPORT { ​ DWORD Export flags; //保留,必须为0 ​ DWORD Time/Data_Stamp //导出创建的时间戳 ​ WORD MajorVersion //主版本号,可
PE结构-导出
小喇叭儿滴滴的吹
03-02 420
在上一篇博客中说了导入,所谓的导入,其实相当于记录程序所依赖的函数库信息,类似于你要调用外部函数,总得记录下这个函数在哪个库中,名字或者序号是什么。有了这些信息后,我们就可以LoadLibrary和GetProcAddress获取函数地址了 那么,操作系统是如何来获取函数地址呢,也就是GetProcAddress的实现,这里就涉及到了导出导出,会记录这个库函数的地址是多少,所以简单来说...
PE结构学习(5)_导入导出
xf555er的博客
08-07 1052
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出里面任何PE文件还会调用哪些PE文件都会记录在导入里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入。...
PE文件结构导出解析
weixin_48257887的博客
05-11 245
【代码】PE文件结构导出解析。
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
PE结构->【导出】工具包
06-22
PE文件中,导出是一个非常重要的组成部分,它定义了该文件可以提供给其他模块调用的函数或数据。本工具包专注于PE文件的导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address ...
PE导出查看器-易语言
06-11
1. **PE文件格式**:了解PE文件的结构,包括DOS头、PE头、节导出等部分。 2. **文件I/O操作**:如何读取二进制文件,并处理其中的数据。 3. **内存映射**:将PE文件映射到内存,以便解析其内部结构。 4. **...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9085
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3619
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7118
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1757
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2729
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4192
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
实验7 pe导出分析及应用
06-08
Pe导出PE文件中的一个数据结构,用于存储可执行文件或动态链接库(DLL)中的函数和变量。Pe导出分析可以帮助我们了解一个程序的功能和调用关系,从而进行代码审计、反制恶意程序等方面的应用。 在实验7中,我们可以通过使用工具如PEview、PE Explorer等对PE文件的导出进行分析,了解其中包含的函数和变量信息。同时,我们还可以使用工具如DLL Export Viewer、Dependency Walker等来查看DLL文件的导出信息。 在实际应用中,Pe导出分析可以用于以下方面: - 程序调试和逆向工程:通过分析导出中的函数和变量,可以帮助我们了解程序的逻辑和调用关系,从而进行调试和逆向分析。 - 恶意程序检测:恶意程序通常会使用一些特定的函数和变量来实现其攻击功能,通过分析导出中的函数和变量,可以帮助我们快速识别和查找这些恶意代码。 - 应用程序开发:在开发应用程序时,我们可以利用导出中的函数和变量实现各种功能,如调用系统API、实现插件机制等。 总之,Pe导出分析是一个非常有用的技能,可以帮助我们更好地理解和应用PE文件和DLL文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值