蝙蝠岛资源网

PE导出表分析
破解资源 2024/11/16 佚名
2 0
蝙蝠岛资源网 Design By www.hbtsch.com

1.导出表的定义
导出表大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。
2.准备工作
写一个DLL文件并简单调用一下。
2.1主要代码
2.1.1   .C文件
[C++] 纯文本查看 复制代码
DLLIMPORT int Add(int a,int b){        return a+b;}DLLIMPORT int Sub(int a,int b){        return a-b;}DLLIMPORT int Mul(int a,int b){        return a*b;}DLLIMPORT int Div(int a,int b){        return a/b;}

DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。
2.1.2   .H文件
[C++] 纯文本查看 复制代码
DLLIMPORT int Add(int a,int b);DLLIMPORT int Sub(int a,int b);DLLIMPORT int Mul(int a,int b);DLLIMPORT int Div(int a,int b);

2.1.3   测试代码
[C++] 纯文本查看 复制代码
#include<Windows.h>#include<stdio.h>#include<stdlib.h>int main(){        typedef int(* FUNT)(int,int);        //定义函数指针        HINSTANCE Hint = LoadLibrary("test.dll");        调用先前写好的DLL                if(Hint==NULL)        {                printf("DLL调用失败");        //测试        return 0;        }        FUNT ADD =(FUNT)GetProcAddress(Hint,"Add");        FUNT SUB =(FUNT)GetProcAddress(Hint,"Sub");        FUNT MUL =(FUNT)GetProcAddress(Hint,"Mul");        FUNT DIV =(FUNT)GetProcAddress(Hint,"Div");                int a=20,b=10;                printf("和为%d\n",ADD(a,b));        printf("差为%d\n",SUB(a,b));        printf("积为%d\n",MUL(a,b));        printf("商为%d\n",DIV(a,b));                FreeLibrary(Hint);        //释放        return 0;}

2.1.4  结果
PE导出表分析
2.2导出函数定义声明
[C#] 纯文本查看 复制代码
> EXPORTS    Add @1    Div @2    Mul @3    Sub @4

3.导出表的位置
导出表位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出表,即DIRECTORY DataDirectory[0]。
[C++] 纯文本查看 复制代码
> typedef struct _IMAGE_DATA_DIRECTORY>  {> DWORD   VirtualAddress;        //导出表开始的地址       **注意是RVA的值**> RVADWORD   Size;                //导出表大小> }> IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找出,如图:
PE导出表分析
选中区域就是数组里的内容,
前四个字节就是导出表的位置:0x00006000是RVA(内存偏移地址)的值,要转化成FOA(文件偏移地址)才能分析;
这里简单说一下,RVA转FOA的步骤:
1.判断RVA是否位于PE头中,如果在,那么RVA==FOA;
2.判断RVA的值在哪一个区段中,求出RVA与该区段开始地址的差值;
3.FOA=节.PointerToRawData(节区在文件中开始地址)+差值
我们来手动算一下,
PE导出表分析
1.节表开始的位置在0x00000178,则RVA不属于PE头

2.观察可知RVA介于.edata和.idata区段之间,
(PE导出表分析
差值为:0x00006000-0x00006000=0x0

3.FOA=0x2000+0x0=0x2000
接着四个字节就是导出表的大小:0x00000069;
4.导出表的结构
现在我们找到了导出表的文件地址,贴上导出表的数据结构和对应的二进制代码:
PE导出表分析
> [C] 纯文本查看 复制代码
typedef struct _IMAGE_EXPORT_DIRECTORY {    **0x00**        DWORD   Characteristics;    //用不到    **0x04**           DWORD   TimeDateStamp;      //时间戳.  编译的时间. 把秒转为时间.可以知道DLL的编译时间.此处和标准PE头的第二个成员一样    **0x08**         WORD    MajorVersion;    **0x0a**       WORD    MinorVersion;    **0x0c**         DWORD   Name;           //指向该导出表文件名的字符串,也就是这个DLL的名称    存储的RVA 地址,需要转换    **0x10**       DWORD   Base;           // 导出函数的起始序号   **0x14**        DWORD   NumberOfFunctions;     //所有的导出函数的个数    **0x18**       DWORD   NumberOfNames;         //以名字导出的函数的个数    **0x1c**       DWORD   AddressOfFunctions;     // 导出的函数地址的 地址表  RVA 即函数地址表     **0x20**      DWORD   AddressOfNames;         // 导出的函数名称表的  RVA      即函数名称表   **0x24**        DWORD   AddressOfNameOrdinals;  // 导出函数序号表的RVA   即函数序号表} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

直接从名字开始分析:导出表文件名所在的地址是:0x6050
差值:0x00006050-0x00006000=0x00000050;
FOA=0x00002000+0x00000050=**0x00002050**;
PE导出表分析
字符串以00结尾,可知该DLL的名字是test.dll;
**导出函数的起始序号(01)稍后分析;**
**导出函数的个数**在0x14位,为4个;
**以名字导出的函数**的个数在0x18位,为4个(说明DLL没有隐藏函数名字,转用序号调用);
导出函数有4个,所以导出函数的地址有4个,是连续的;
                               **函数地址表**
起始序号——>下标函数地址(FOA)函数名 (此表中函数名为二进制代码推出)01——>0
标签:
PE导出表分析
蝙蝠岛资源网 Design By www.hbtsch.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
蝙蝠岛资源网 Design By www.hbtsch.com

评论“PE导出表分析”

暂无PE导出表分析的评论...
www.hbtsch.com 蝙蝠岛资源网
139,976影音资源
144,792福利资源
21,817软件资源
631,128技术资源
一句话新闻
苹果官宣WWDC 2024!预计会有大批AI功能 - 2024/11/16

3月27日消息,苹果宣布2024年全球开发者大会(WWDC)将于6月10日至6月14日举行,巧合的是,这次大会与端午假期重合。

苹果官方表示:

在线参加 Apple 每年规模最大的开发者盛会。亲眼见证 Apple 最新平台、技术和工具的发布。了解如何创建和改进你的 App 和游戏。与 Apple 设计师和工程师互动交流,与全球开发者社区建立联系。以上活动均免费在线举行。

探索各种新的工具、框架和功能,助力你打造出理想的 App 和游戏。通过视频讲座学习新技能,与 Apple 专家进行一对一会面,以推进你的项目,完善你的构思。

Swift Student Challenge 旨在支持和鼓舞下一代开发者、创作者和企业家。太平洋时间 3 月 28 日,我们将公布今年的获奖者名单。获奖者将有资格参加在 Apple Park 举办的特别活动。我们还会选出 50 名杰出获胜者,他们将受邀前往库比提诺,获得为期三天的非凡体验,包括参加 Apple Park 的特别活动。

RTX 5090要首发 性能要翻倍!三星展示GDDR7显存

三星在GTC上展示了专为下一代游戏GPU设计的GDDR7内存。

首次推出的GDDR7内存模块密度为16GB,每个模块容量为2GB。其速度预设为32 Gbps(PAM3),但也可以降至28 Gbps,以提高产量和初始阶段的整体性能和成本效益。

据三星表示,GDDR7内存的能效将提高20%,同时工作电压仅为1.1V,低于标准的1.2V。通过采用更新的封装材料和优化的电路设计,使得在高速运行时的发热量降低,GDDR7的热阻比GDDR6降低了70%。

更新日志

友情链接

杰晶网络 DDR爱好者之家 桃源资源网 杰网资源 富贵资源网 南强小屋 铁雪资源网 幽灵资源网 万梅资源网 狼山资源网 白云岛资源网 昆仑资源网 相思资源网 明霞山资源网 内蒙古资源网 黑松山资源网 茶园资源网 饿虎岗资源网 大旗谷资源网 常春岛资源网 岱庙资源网 兴国资源网 快活林资源网 蝙蝠岛资源网 帝王谷资源网 白云城资源网 伏龙阁资源网 清风细雨楼 天枫庄资源网 圆月山庄资源网 无争山庄资源网 神水资源网 移花宫资源网 神剑山庄资源网 无为清净楼资源网 金钱帮资源网 丐帮资源网 华山资源网 极乐门资源网 小李飞刀资源网 凤求凰客栈 风云阁资源网 金狮镖局 鸳鸯亭资源网 千金楼资源网 更多链接
蝙蝠岛资源网 Design By www.hbtsch.com