PE文件结构—导出表解析

已于 2024-05-12 12:50:59 修改
阅读量210 收藏
点赞数 1
分类专栏: PE文件结构 文章标签: windows c++
于 2024-05-11 17:18:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48257887/article/details/138723418
版权 


#include<iostream>
#include<Windows.h>

char* LoadFile(const char* szbuffer)
{
	HANDLE ret = CreateFileA(szbuffer, GENERIC_READ | GENERIC_WRITE,
		FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);
	if (ret == INVALID_HANDLE_VALUE)
	{
		return 0;
	}
	DWORD fs = GetFileSize(ret, NULL);
	char* tempbuff = new char[fs];
	memset(tempbuff, 0, fs);
	DWORD filenum = 0;
	if (ReadFile(ret, tempbuff, fs, &filenum, NULL))
	{
		return tempbuff;
	}
	return 0;
}


DWORD RvaToFoa(DWORD dwRva, char* szbuffer)
{
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)szbuffer;
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((DWORD)pDos + pDos->e_lfanew);
	PIMAGE_SECTION_HEADER pSh = (PIMAGE_SECTION_HEADER)((DWORD)pNt + sizeof(IMAGE_NT_HEADERS));
	if (dwRva < pSh->VirtualAddress)
	{
		return dwRva;
	}
	for (size_t i = 0; i < pNt->FileHeader.NumberOfSections; i++)
	{
		if (pSh[i].VirtualAddress <= dwRva && dwRva <= pSh[i].Misc.VirtualSize + pSh[i].VirtualAddress)
		{
			return dwRva - pSh[i].VirtualAddress + pSh[i].PointerToRawData;
		}
	}
	return 0;
}

BOOL ExportTable(char* szbuffer)
{
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)szbuffer;
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((DWORD)pDos + pDos->e_lfanew);
	DWORD mExport = pNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
	PIMAGE_EXPORT_DIRECTORY pEd = (PIMAGE_EXPORT_DIRECTORY)(RvaToFoa(mExport, szbuffer) + szbuffer);
	char* name = (char*)(RvaToFoa(pEd->Name, szbuffer) + szbuffer);
	printf("Dll名称:%s\n", name);
	printf("名称RVA:%08X\n", pEd->Name);
	printf("导出表RVA:%08X\n", RvaToFoa(mExport, szbuffer));
	printf("基数:%08X\n", pEd->Base);
	printf("特征值:%08X\n", pEd->Characteristics);
	printf("函数数量:%d\n", pEd->NumberOfFunctions);
	printf("函数名数量:%d\n", pEd->NumberOfNames);
	printf("函数导入表地址:%08X\n", pEd->AddressOfFunctions);
	printf("函数名称地址:%08X\n", pEd->AddressOfNames);
	printf("函数名称序号地址:%08X\n\n", pEd->AddressOfNameOrdinals);

	DWORD* dwFab = (DWORD*)(RvaToFoa(pEd->AddressOfFunctions, szbuffer) + szbuffer);
	DWORD* dwNab = (DWORD*)(RvaToFoa(pEd->AddressOfNames, szbuffer) + szbuffer);
	WORD* dwNoab = (WORD*)(RvaToFoa(pEd->AddressOfNameOrdinals, szbuffer) + szbuffer);
	//函数地址表的是个数组,数组每一个元素里面存放的函数的地址(RVA),既然是数组,那么每个元素就有下标,只是说有的元素里面没有地址,但他的下一元素又有地址,是生成dll时,人为修改的
	//上面说了函数地址表的是数组,数组有下标,而这个函数名称序号表(2字节的数组)又存放了函数地址表的下标,而函数名称序号表自身也有下标,这个下标又与函数名称表的下标一 一对应
	for (size_t i = 0; i < pEd->NumberOfFunctions; i++)
	{
		//因为pEd->NumberOfFunctions,是不准确的,pEd->NumberOfFunctions = 最大导出序号 — pEd->Base + 1
		if (dwFab[i] == 0)//过滤函数地址是0的数组元素,跳过它遍历下一个元素
		{
			continue;
		}
		size_t j = 0;
		for (; j < pEd->NumberOfNames; j++)
		{					   //因为函数名称序号表里面存放的是地址表的数组下标
			if (dwNoab[j] == i)//在函数名称序号表里面 找 当前函数地址(i),有没有存放在函数名称序号表里面
			{
				break;
			}
		}
		//没有找到名称
		if (j == pEd->NumberOfNames)//如果在函数名称序号表里面找到了,j永远是小于pEd->NumberOfNames,
		{
			DWORD Foa = RvaToFoa(dwFab[i], szbuffer);
			printf("序号:%04x  函数地址RVA:%08X  函数文件偏移:%08X  函数名称[—]\n", pEd->Base + i, dwFab[i], Foa);
		}
		else
		{
			DWORD Foa = RvaToFoa(dwFab[i], szbuffer);
			char* name = (char*)(RvaToFoa(dwNab[j], szbuffer) + szbuffer);
			printf("序号:%04x  函数地址RVA:%08X  函数文件偏移:%08X  函数名称[%s]\n", pEd->Base + i, dwFab[i], Foa, name);
		}
	}

	return true;
}

int main()
{
	char* szbuffer = LoadFile("C:\\Users\\Administrator\\Desktop/Dll1.dll");
	ExportTable(szbuffer);
	system("pause");
	return 0;
}

向你扔鸡爪
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件导出解析
windows小菜鸡的博客
08-16 937
1、导出结构 导出是option可选PE头的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称的RVA,需要转为FOA,每个存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称找到Ordinals下标,然后通过下标在Or
驱动开发:内核解析PE结构导出
CSDN
05-31 8313
参数,本章将继续延申这个话题,实现对PE文件导出解析任务,导出无法动态获取,解析导出则必须读入内核模块到内存才可继续解析,所以我们需要分两步走,首先读入内核磁盘文件到内存,然后再通过。取出函数的入口RVA,然后通过RVA加上模块基址便是第一个导出函数的地址,向后每次相加导出函数偏移即可依次遍历出所有的导出函数地址。导出函数存储在PE文件导出里,导出的位置存放在PE文件头中的数据目录中,与导出对应的项目是数据目录中的首个。得到导出的地址,依次循环读取即可得到完整的导出
2.6 PE结构导出详细解析
CSDN
09-07 4725
导出(Export Table)是Windows可执行文件中的一个结构,记录了可执行文件中某些函数或变量的名称和地址,这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中函数的导出信息对可执行文件的导入(IAT)进行修正。
PE文件解析--导出
qq_31125257的博客
12-22 1367
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构解析,数据目录解析导出,导入,资源等常见解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想...
cvi 解析PE文件获取导出函数和虚拟地址
09-01
在Labwindows/CVI中解析PE文件,我们需要对PE文件结构有基本的理解。PE文件包含头部信息,如DOS头、PE头、节等,这些头部信息中包含了关于文件如何在内存中加载和执行的关键信息。其中,导出函数PE文件的一...
VC 解析PE导出 导入
01-16
Windows操作系统中,可执行文件(EXE、DLL等)采用Portable Executable(PE文件格式,这是一种由Microsoft设计的标准,用于...同时,通过模仿DEPENDS的部分功能,我们可以自己构建工具来增强对PE文件结构的掌握。
PE结构->【导出】工具包
06-22
本工具包专注于PE文件导出解析与操作。 导出包含以下几个关键元素: 1. **导出地址(Export Address Table, EAT)**:这是导出的核心,记录了导出函数的实际地址。EAT由一系列导出函数项组成,每个函数...
PE文件解析
12-01
PE文件解析器是一种工具,它能够解析这些文件的内部结构,揭示其组成元素,这对于软件开发、逆向工程、安全分析等领域至关重要。本文将深入探讨PE文件结构及其解析原理。 1. **PE文件的基本结构** - **DOS头**: ...
Java-List集合堆内存溢出
最新发布
weixin_47748878的博客
07-04 343
Java集合内存溢出分析
学生管理系统
m0_46977298的博客
07-02 2218
学生管理系统的实现,包括注册、登录和忘记密码,以及增删改查等功能。
【Unity小技巧】Unity字典序列化
憨辰
07-01 344
Unity字典序列化实现
CMake
刘大帅
07-01 586
CMake教程
uniapp 封装瀑布流组件
coding...
07-04 253
1.coulumns:需要分成几列。4.图片进行高度自适应。
Java中的函数式编程实战与Lambda达式应用
微赚淘客开发者博客
07-01 446
通过本文的介绍,您应该对Java中函数式编程和Lambda达式有了更深入的理解。Java 8引入的流式API(Stream API)结合了Lambda达式,提供了一种更简洁、更可读的方式来处理集合数据。函数式编程是一种编程范式,它将计算视为数学函数的评估,避免使用可变状态和可变数据。Java自从引入了Lambda达式和函数式接口后,函数式编程在Java中得到了更广泛的应用。Lambda达式是函数式编程的核心,它允许我们将函数作为方法参数传递给其他方法,或者用更简洁的方式示匿名函数。
C# List、LinkedList、Dictionary性能对比
Pei_hua100的专栏
07-03 546
int ,bool, char, double, enum, struct, DateTime等。这就是为什么ArrayList既可以存储值类型,也可以存储引用类型。如果是引用类型,先把数据存储在堆中,然后把堆的地址存储在栈中。string,Array,class集合 等都是引用类型。key-value组合,可以添加不同类型的数据,取出之后需要转换成对应类型。中间一旦有人缺席,所有人都要前移去补位,牵一发动全身,(用主键作为key,保证无重复元素),反而效率更高。
MTK7621:交换芯片工作队列
l00102795的博客
07-01 366
mt7530交换芯片的数据接收中断后,把具体接收数据工作任务、委托到workqueue队列中,让内核work_thread()线程任务来处理,这部分内容请参考《workqueue工作原理》中的描述。workqueue基本工作流程框架如下:框架业务关系:1,程序把work单加入到workqueue中,就等于把工作安排好,是工单的生成者、派遣者;2,work_pool是工厂,提供工作的场地,worker是工人,负责执行工单,是消费者;
vc编写pe文件解析工具
08-29
VC编写PE文件解析工具是一项非常有挑战性...总的来说,VC编写PE文件解析工具需要通过对PE文件结构和内容的深入理解,使用相关函数和库来实现对PE文件的读取和解析。这样就可以开发一个功能丰富、实用的PE文件解析工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值