PE文件导出表解析代码实现

最新推荐文章于 2023-03-22 11:13:12 发布
最新推荐文章于 2023-03-22 11:13:12 发布
阅读量508 收藏
点赞数
分类专栏: PE 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzy1448331580/article/details/89737361
版权

PE文件导出表结构

typedef struct _IMAGE_EXPORT_DIRECTORY {
	//保留。恒为0x00000000
	DWORD   Characteristics;

	//导出表的创建时间(GMT)
	DWORD   TimeDateStamp;

	//导出表的主版本号
	WORD    MajorVersion;

	//导出表的子版本号
	WORD    MinorVersion;

	//导出模块的名字
	DWORD   Name;

	//API 索引基数
	DWORD   Base;

	//EAT数量
	DWORD   NumberOfFunctions;

	//ENT数量
	DWORD   NumberOfNames;

	//EAT的RVA
	DWORD   AddressOfFunctions;

	//ENT的RVA
	DWORD   AddressOfNames;

	//导出序号表的RVA
	DWORD   AddressOfNameOrdinals;
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

导出表主要由名称表,函数表,序号表组成的,但是函数表和序号表是一定要有的,名称表是可选的。

解析过程中要注意RVA转Offset。

BOOL PEAnalyseSpace::PEAnalyse::ShowExport()
{
	BOOL bRet = FALSE;//是否执行成功
	PIMAGE_EXPORT_DIRECTORY pExport = NULL;//导出表指针
	PDWORD pNames = NULL;//名称表指针
	PWORD pOrders = NULL;//序号表指针
	PDWORD pFuncs = NULL;//地址表指针
	PCHAR pszName = NULL;//指向函数名字
	DWORD dwIndex = 0;//索引
	DWORD dwNum = 0;//导出函数的数量
	do 
	{
		//没有解析
		if (m_lpBase == NULL)
		{
			break;
		}

		//导出表为空
		if (m_pNt->OptionalHeader.DataDirectory->Size == NULL)
		{
			break;
		}

		//获取导出表
		pExport = (PIMAGE_EXPORT_DIRECTORY)
			(RVAtoOffset(m_pNt->OptionalHeader.DataDirectory->VirtualAddress)
				+(DWORD)m_lpBase);
		
		//获取导出函数的数量
		dwNum = pExport->NumberOfFunctions;

		//导出函数
		pNames = (PDWORD)((PCHAR)RVAtoOffset(pExport->AddressOfNames) + (DWORD)m_lpBase);

		//导出序号
		pOrders = (PWORD)(RVAtoOffset(pExport->AddressOfNameOrdinals) + (DWORD)m_lpBase);

		//导出地址
		pFuncs = (PDWORD)(RVAtoOffset(pExport->AddressOfFunctions) + (DWORD)m_lpBase);

		//输出导出模块的名称
		cout << "Module Name Is: "
			<< (PCHAR)(RVAtoOffset(pExport->Name) + (DWORD)m_lpBase)
			<< endl;

		for (; dwIndex < dwNum; dwIndex++)
		{
			//获取函数名
			pszName = (PCHAR)(RVAtoOffset(pNames[dwIndex]) + (DWORD)m_lpBase);
			cout << "ID: " << pOrders[dwIndex]
				<< "\tFunctionName: " << pszName
				<< "\tFunctionRVA: " << hex << "0x" << pFuncs[dwIndex]
				<< endl;
		}
		bRet = TRUE;
	} while (FALSE);
	return bRet;
}

实际效果:

 

Github:PEAnalyse

ThatAllOver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动解析PE文件(含打印PE文件信息的C练习代码
lygl35的博客
06-17 992
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
滴水三期:day41.2-PE阶段所有代码汇总(PE文件分析器基本C代码
最新发布
Edimade的博客
04-22 412
1.功能说明 > 2.代码
解析PE文件代码
qq_43445167的博客
07-03 624
图形界面暂时没做出来 暑假学学QT 读文件只能在主函数里写文件路径 , 是有点low… (流下了没技术的泪水) 头文件代码: #pragma once #include<Windows.h> class CPe { private: PTCHAR ptcFilePath; //PE文件路径 IMAGE_DOS_HEADER pe_cDosHeader; I...
PE导出,C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 764
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
PE文件解析--导出
qq_31125257的博客
12-22 1368
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
cvi 解析PE文件获取导出函数和虚拟地址
09-01
本文将深入探讨如何使用Labwindows/CVI解析PE文件以获取其导出函数和虚拟地址。 首先,让我们了解一下什么是Labwindows/CVI。Labwindows/CVI是由National Instruments公司开发的一种集成开发环境(IDE),专门...
ParsePe_等价替换PE文件指令_解析PE文件_
10-03
4. **导出和导入**:PE文件可能包含导出(Export Table),用于其他模块调用其函数,以及导入(Import Table),引用了其他模块的函数或资源。 5. **重定位和资源**:PE文件可能需要进行重定位,即根据加载时...
VC 解析PE导出 导入
01-16
本篇文章将详细解析VC(Visual C++)如何处理PE文件导出和导入。 **导出**是PE文件中一个关键的组成部分,它包含了该文件对外提供的函数或资源的清单。当其他程序需要调用某个DLL中的函数时,会通过导出...
PE文件分析器VC源代码
03-15
通过这个VC++源代码,初学者可以学习到如何使用MFC(Microsoft Foundation Classes)库来创建图形界面,以及如何与Windows API交互,实现PE文件的读取和解析。同时,这也是一种实践性的学习,通过实际操作,理解PE...
PE文件解析器的原理(C语言代码
01-16
导入允许程序引用其他DLL中的函数,而导出则声明了该PE文件提供给其他程序的函数。这两个都包含一系列的导出或导入函数记录,每个记录都指定了函数名和地址。 在C语言中,可以使用`GetProcAddress`和`...
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
PE文件导入解析(C++)
05-01
C++实现PE文件导出解析操作,希望对大家有所帮助。
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE文件之移动导出(自学笔记)
Sanshul的博客
12-22 298
PE文件之移动导出(自学笔记)
PE格式解析-导出分析
走在成长的路上
12-25 1561
关于于PE文件导出的格式解析
《初识PE导出
weixin_34212762的博客
11-21 129
转自:http://www.blogfshare.com/pe-export.html (二).导出PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。 Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟地址空间,这样的话在各个程序自己看来,自己就拥有几...
PE结构导出详细解析
huobengle
01-27 510
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
PE文件学习笔记(一)---导入导出
还木人的博客
10-07 3117
最近在看《黑卡免杀攻防》,对讲解的PE文件导入导出的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入? 导入机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
PE导出(输出)学习笔记
tzwj1983的博客
03-19 1928
导出
秦万强PE文件学习笔记.pdf
06-06
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件PE文件)进行了深入解析PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值