逆向工程核心原理 pe文件EXPORT表小结

线上一张图,然后再说明:

我们的目的是找到库里的函数,所以首先应该了解基本的流程:

先是Address of Names,找到数组,再从数组中用公式(书中有)找到目标函数————》Address of NameOrdinals中找到Ordinal(序号,顺序的意思)————》再比较Ordinal和Address of Functons中函数的顺序(有时候会不一样),找到目标函数————》最后用Ordinal作为数组的索引找到函数在库中的起始位置,如下图(来自课本中):

最后根据ImageBase没有找到函数的起始位置,课后的解答给出了相关解释:ASLR技术也叫 地址空间布局随机化,是为了针对缓冲区溢出的保护技术。所以内存的起始位置会发生变化。(详细可以看课本的41章)



  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
发行者的描述: Neuron PE Disassembler 是一个可视化工具,探讨PE内部,反汇编 DLL,OCX和EXE文件,并查看他们的代码和资源. 查看DLL和EXE代码作为Intel ASM和/或结构化 pseudo ASM/C/C++。 查看LIB和obj内部。 查看DBG文件和使用Codeview调试数据。 查看Linux A 和 O 文件。 查看PE输入和输出情况。 查看PE的调用树,导出和导入函数,以及内部函数。 unmangle Visual C++导出名称。 查看内部二进制结构的PE文件,请执行以下操作:COFF和标准头文件,PE目录、区段,导入和导出,IAT、资源。 查看和提取资源从PE文件。 转换菜单、对话框、字符串和消息,Java源代码进行编译。 查看和从当前文件提取资源 RES、APS(Visual Studio 的资源),ICO,CUR文件。 Publisher's Description: Neuron PE Disassembler is a visual tool for exploring PE internals. Disassemble DLL, OCX and EXE files and view their code and resources. View DLL and EXE code as Intel ASM and/or structured pseudo ASM/C/C++. View LIB and OBJ internals. View DBG files and CodeView debug data. View Linux A and O files. View PE imports and exports. View PE call and caller trees for exported and imported functions as well as internal functions. Unmangle Visual C++ export names. View the internal binary structure of PE files: COFF and Standard headers, PE directory, sections ,import and export tables, IAT, resources. View and extract resources from PE files. Convert menus, dialog boxes, string and message tables to Java source code ready to be compiled. View and extract resources from RES, APS (Visual Studio resources), ICO, CUR files.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值