逆向工程核心原理 pe文件EXPORT表小结

最新推荐文章于 2018-11-07 17:58:49 发布
最新推荐文章于 2018-11-07 17:58:49 发布
阅读量291 收藏
点赞数
文章标签: 逆向工程核心原理 EXPORT小结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youqi1/article/details/80404107
版权

线上一张图,然后再说明:

我们的目的是找到库里的函数,所以首先应该了解基本的流程:

先是Address of Names,找到数组,再从数组中用公式(书中有)找到目标函数————》Address of NameOrdinals中找到Ordinal(序号,顺序的意思)————》再比较Ordinal和Address of Functons中函数的顺序(有时候会不一样),找到目标函数————》最后用Ordinal作为数组的索引找到函数在库中的起始位置,如下图(来自课本中):

最后根据ImageBase没有找到函数的起始位置,课后的解答给出了相关解释:ASLR技术也叫 地址空间布局随机化,是为了针对缓冲区溢出的保护技术。所以内存的起始位置会发生变化。(详细可以看课本的41章)



youqi1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE结构->【导出Export
u011513939的博客
06-22 504
PE 文件被执行的时候,Windows 加载器将文件装入内存并将导出(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 有一个重要的概念需要记住:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的。动态链接库可以使用应用程序的资源,它所拥有的资源也可以被应用
逆向工程核心原理 第十三章 PE文件格式
王嘟嘟的博客
05-05 545
0x00 前言 在没有接触壳之前,也不着急着做什么练习,PE文件格式还是要学一学的。 0x01 正文 1.VA&RVA VA:进程虚拟内存的绝对地址 RVA:相对虚拟地址。从某个基准位置(ImageBase)开始的相对地址 公式:RVA+ImageBase=VA PS: 32位Windows中,进程分配有4GB虚拟内存,因此进程中的VA范围是00000000~FFFFFFFF 2.PE头 ...
PE文件-分析vc示范所有代码[不包含EXPORT TABLE]
jiangtongcn的专栏
07-16 845
#include #include #define PE_FILE_NAME TEXT("C:\\WINDOWS\\system32\\notepad.exe") #define CREATE_FILE_FAILURE "创建文件失败" #define CRE
PE文件格式学习(三):导出(Export)
tutucoo
11-07 485
1.回顾 上篇文章中介绍过,可选头中的数据目录是一个大小为0x10的数组,导出就是这个数组中的第一个元素。 我们再回顾下数据目录的结构体: struct _IMAGE_DATA_DIRECTORY {     DWORD VirtualAddress;     DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DA...
PE文件学习笔记(三):导出Export Table)解析
Apollon_krj的博客
08-17 6254
数据目录(Data Directory):16个_IMAGE_DATA_DIRECTORY结构体元素,该结构体数组时可选PE头中最后一个成员。这十六个元素分别存储了不同信息,分别是:导入、导出、资源、异常信息、安全证书、重定位、调试信息、版权所有、全局指针、TLS、加载配置、绑定导入、IAT、延迟导入、COM信息、最后一个保留未使用。和程序运行时息息相关的有:导出、导入、重定位、IA
PEview - 打开Windows平台PE格式文件的小工具
最新发布
11-20
这款小工具允许用户深入探索文件的内部结构,对逆向工程和软件调试工作大有裨益。 **PE文件格式详解** 1. **文件头和节**:PE文件以DOS头开始,它包含一个简单的DOS程序,用于将控制权转移到PE头。PE头接着是...
PE文件导入解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件的导入,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
ParsePe_等价替换PE文件指令_解析PE文件_
10-03
4. **导出和导入**:PE文件可能包含导出Export Table),用于其他模块调用其函数,以及导入(Import Table),引用了其他模块的函数或资源。 5. **重定位和资源**:PE文件可能需要进行重定位,即根据加载时...
PEInfo.rar_EXinfoPE 使用_export table pe file_peinfo
09-21
标题 "PEInfo.rar_EXinfoPE 使用_export table pe file_peinfo" 涉及到的是一个关于PE文件(Portable Executable)分析的工具或程序,名为PEInfo,它可以帮助用户查看PE文件的内部结构,特别是其导入和导出。...
易语言源码易语言PE文件资源查看源码.rar
03-30
2. **PE文件结构**:需要了解PE文件的内部结构,包括节区(Section)、导出Export Table)、导入(Import Table)以及资源目录(Resource Directory)等,这是查看PE资源的前提。 3. **资源解析**:学习如何...
Neuron PE Disassembler 1.0.b7汉化版(PE反编译)
06-30
发行者的描述: Neuron PE Disassembler 是一个可视化工具,探讨PE内部,反汇编 DLL,OCX和EXE文件,并查看他们的代码和资源. 查看DLL和EXE代码作为Intel ASM和/或结构化 pseudo ASM/C/C++。 查看LIB和obj内部。 查看DBG文件和使用Codeview调试数据。 查看Linux A 和 O 文件。 查看PE输入和输出情况。 查看PE的调用树,导出和导入函数,以及内部函数。 unmangle Visual C++导出名称。 查看内部二进制结构的PE文件,请执行以下操作:COFF和标准头文件,PE目录、区段,导入和导出,IAT、资源。 查看和提取资源从PE文件。 转换菜单、对话框、字符串和消息,Java源代码进行编译。 查看和从当前文件提取资源 RES、APS(Visual Studio 的资源),ICO,CUR文件。 Publisher's Description: Neuron PE Disassembler is a visual tool for exploring PE internals. Disassemble DLL, OCX and EXE files and view their code and resources. View DLL and EXE code as Intel ASM and/or structured pseudo ASM/C/C++. View LIB and OBJ internals. View DBG files and CodeView debug data. View Linux A and O files. View PE imports and exports. View PE call and caller trees for exported and imported functions as well as internal functions. Unmangle Visual C++ export names. View the internal binary structure of PE files: COFF and Standard headers, PE directory, sections ,import and export tables, IAT, resources. View and extract resources from PE files. Convert menus, dialog boxes, string and message tables to Java source code ready to be compiled. View and extract resources from RES, APS (Visual Studio resources), ICO, CUR files.
iczelion pe tutcn7
jimgreen的专栏
08-29 896
 PE教程7: Export Table(引出)上一课我们已经学习了动态联接中关于引入那部分知识,现在继续另外一部分,那就是引出。 理论:当PE装载器执行一个程序,它将相关DLLs都装入该进程的地址空间。然后根据主程序的引入函数信息,查找相关DLLs中的真实函数地址来修正主程序。PE装载器搜寻的是DLLs中的引出函数。DLL/EXE要引出一个函数给其他DLL/EXE使
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3779
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出,DLL 文件
使用pefile解析PE文件格式
小黑话不多
07-06 3448
pefile用于解析PE文件格式,github提供下载使用,并给出了使用范例。 https://github.com/erocarrera/pefile import pefile pe = pefile.PE('notepad.exe') AddressOfEntryPoint = hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint) ImageBa
PE文件结构详解(三)PE导出
Azure_Sky_2014
02-02 831
转自:http://blog.csdn.net/evileagle/article/details/12176797 上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数获取,函数原型如下:
PE加壳原理以及实现
qq_31615907的博客
04-09 9730
     对于很多高手来说,加壳是一件微不足道的小事,但是对于大部分从未接触过的朋友都是有点懵。新手对于壳的理解大都就是在执行原程序代码前率先取得控制权的代码,这些代码可以对原代码or数据进行解密(在未解密前是看不懂的),此方法常用于干扰静态反汇编,记得早些时候壳也被称为SMC加密。    就整体思路来说,这个想法是完全正确的,但是需要实际操作起来却不是向说得那么轻松。1、我们是基于二进制文件修改...
PE格式解析-导出分析
走在成长的路上
12-25 1568
关于于PE文件中导出的格式解析
PE文件代码段的加密与解密
dasgk的专栏
09-07 2916
// 区块合并.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; #pragma comment(lib,"imagehlp.lib") char* strSrcExePath="D:\\project\\tmp\\Debug\\tmp.ex
《加密与解密》学习笔记(二) - 加密算法和PE文件
CCCyrus
08-09 453
又看了两章,果然越来越难,准备先做些题,用到哪些知识再学。这次还把罗云彬老师书中的TLS(线性局部存储)给学了。 6加密算法 6.1单向散列算法 哈希算法,任意长度消息压缩至固定长度,不可逆 MD5,SHA,PIPE-MD,HAVAL,N-Hash 6.1.1MD5(消息摘要算法) 原理略 结果 将任意长度的字符串变幻成128位的大整数,不可逆
Microsoft PE文件与COFF目标文件格式规范详解
PE文件规范是Windows操作系统家族中核心的二进制文件格式,用于描述可执行程序、动态链接库(DLLs)、驱动程序等。PE文件的结构基于通用目标文件格式(COFF),后者是一个更为通用的二进制文件格式,可以被多种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值