PE之代码解析导出表

原创 已于 2025-11-26 21:54:15 修改 · 401 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #c++ #系统安全 #c语言 #开发语言

于 2025-11-26 21:44:14 首次发布

PE之代码解析导出表
1)导出表
导出表(ExportTable)是PE文件中描述导出函数的核心数据结构,位于.edata节区,用于定义DLL对外暴露的函数名称,序号及地址映射。其根结构为IMAGE_EXPORT_DIRECTORY,包含导出函数总数,名称表地址,地址表地址等关键信息,是系统加载DLL时解析导出符号的依据,决定了外部程序能否正确调用DLL中的函数。

需注意导出表的特殊场景,咱们来看下逆向破解中的典型场景:
导出函数隐藏/伪造:恶意软件常通过修改导出表隐藏真实函数,或伪造导出函数名称误导逆向分析者;
导出表修复:破解加壳程序时,需重建被破坏的导出表以恢复DLL的正常调用;
导出函数挂钩(Hook):通过修改导出表中的函数地址,实现对目标函数的拦截与篡改;
无导出表DLL分析:部分恶意DLL故意删除导出表,需通过动态调试或静态分析定位函数入口。


2)解析导出表
解析导出表需先定位IMAGE_EXPORT_DIRECTORY:通过PE头中的DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]获取其RVA,再转换为文件偏移。接着读取导出函数总数,遍历地址表(AddressOfFunctions)获取函数RVA,通过名称表(AddressOfNames)和序号表(AddressOfNameOrdinals)建立“名称-序号-地址映射,最终整理出所有导出函数的完整信息。


3)程序开发流程
前期基本流程和导入表基本大差不差哦,首先把要分析的EXE或DLL文件以二进制方式打开,将文件里所有内容读到内存里的一个临时区域(咱们叫它buf),接着把这个buf转换成能识别PE文件开头DOS头的格式,找到DOS头里的e_lfanew这个关键值,用它加上buf的起始位置定位到PE文件的核心NT头,再从NT头里的OptionalHeader.DataDirectory中找到对应导出表的索引(IMAGE_DIRECTORY_ENTRY_EXPORT),拿到导出表的地址;拿到导出表的地址(RVA)和大小后先做检查,若地址或大小为0则说明文件没有导出表,直接提示并返回,若导出表存在就用之前写的RVAToOffset函数把导出表的RVA转换成它在buf里的实际偏移量,找到真正的导出表结构体(IMAGE_EXPORT_DIRECTORY),之后打印导出表的基本信息,比如模块名称(Name),特性标志(Characteristics),时间戳(TimeDateStamp)等,重点关注Base(导出函数的起始序数),NumberOfFunctions(总共导出的函数数量),NumberOfNames(有名字的导出函数数量),AddressOfFunctions(EAT,存每个导出函数RVA的数组地址),AddressOfNames(ENT,存每个具名导出函数名称RVA的数组地址),AddressOfNameOrdinals(存与ENT中每个名称对应序号索引的数组地址)这些关键信息,再用同样方法把EAT,ENT和AddressOfNameOrdinals三个数组的RVA转换成buf里的偏移量以便直接访问,最后进入核心解析和打印环节,先循环遍历EAT数组(因其数量NumberOfFunctions代表所有导出函数总数),对每个条目获取函数RVA,计算实际序数(索引+Base),若RVA为0则标注(UnusedEntry),对于每个有效函数RVA,循环遍历AddressOfNameOrdinals数组,其每个值代表对应EAT数组位置的序号索引,将该索引与当前遍历的EAT索引比较,找到匹配项则说明EAT当前位置的函数有名字,用AddressOfNameOrdinals数组当前索引去ENT数组找到对应名称RVA,再转换成buf里的偏移量取出函数名字,若遍历完AddressOfNameOrdinals数组都无匹配项则标注为(Ordinal-onlyExport),最后把每个函数的序数,RVA和找到的名字打印出来,整个导出表的分析就完成啦哈哈哈。

4)代码示例
#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
DWORD RvaToOffset(DWORD dwRva, char* buf)
{
    // Validate input parameters (null buffer check)
    if (buf == NULL)
    {
        return 0; // Return 0 as error indicator (RVA 0 is rarely valid in PE files)
    }

    // Cast buffer to DOS header (first structure in PE file)
    PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)buf;

    // Validate DOS header signature (0x5A4D = "MZ")
    if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
    {
        return 0; // N

最低0.47元/天 解锁文章
PE文件导出解析
qq_38933606的博客
03-28 495
上一篇文章中讲到了PE文件中的一些基本结构,其中比较重要的数据目录结构没有详细展开, 而这一篇详细介绍一下数据目录中的导出
驱动开发:内核解析PE结构导出
LYSHARK
05-31 9416
参数,本章将继续延申这个话题,实现对PE文件导出解析任务,导出无法动态获取,解析导出则必须读入内核模块到内存才可继续解析,所以我们需要分两步走,首先读入内核磁盘文件到内存,然后再通过。取出函数的入口RVA,然后通过RVA加上模块基址便是第一个导出函数的地址,向后每次相加导出函数偏移即可依次遍历出所有的导出函数地址。导出函数存储在PE文件的导出里,导出的位置存放在PE文件头中的数据目录中,与导出对应的项目是数据目录中的首个。得到导出的地址,依次循环读取即可得到完整的导出
2.6 PE结构:导出详细解析
LYSHARK
09-07 5752
导出(Export Table)是Windows可执行文件中的一个结构,记录了可执行文件中某些函数或变量的名称和地址,这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中函数的导出信息对可执行文件的导入(IAT)进行修正。
11.PE文件之导出(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 6614
目录 导出定位以及解析(手动) 代码定位导出并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出 PE中的导出通常存在于动态链接库文件里.有些EXE也会存在导出.导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入中登记的与该动态链接库相关的由INT指
PE文件(七)导入
2301_78838647的博客
07-10 2022
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称RVA我们在硬盘数据找该地址时要先转成FOA,这个地址指向的记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称RVA *
PE文件结构—导出解析
weixin_48257887的博客
05-11 345
代码PE文件结构—导出解析
PE文件解析--导出
qq_31125257的博客
12-22 1755
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
**PE注入**:这通常是指将代码注入到另一个正在运行的PE进程的内存空间中,可以通过修改PE导出来实现。例如,注入代码可以创建一个新的导出函数,这样其他模块就可以调用这个新功能。 **应用场景:** 1. **动态...
PE文件解析(3):导出解析
ylh的博客
10-31 1072
导出深度解析,如何找到他的准确位置,代码解析导出的寻址。
基于PE文件格式解析导出获取函数地址
本资源标题为“精选_根据PE文件格式从导出中获取指定导出函数的地址_源码打包”,其核心目标是通过解析PE文件中的导出(Export Table),实现对特定导出函数地址的定位与提取。该过程涉及多个底层知识模块,包括...
手工解析PE(导出)
GNAIXGNAHZ的博客
06-19 374
手工解析PE(导出)
PE-导出
megaparsec
12-19 1119
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发
PE目录项之导出解析、移动)
qq_35289660的博客
06-23 2014
PE目录项之导出 文章目录PE目录项之导出0.说明1.简述导出a.位置b.导出的结构c.导出的工作方式① 根据函数名导出② 根据序号导出函数③ 总结2.解析导出a.注意要点b.源代码3.移动导出所有结构到新建的节区a.移动导出的原因b.大概流程c.注意事项d.源代码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流或询问????^ __ ^ 有不懂的直接留言,我必回!???????? 1.简述导出 导出,顾名思义就是要导出
PE文件结构详解(三)PE导出
热门推荐
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
PE格式解析-导出分析
走在成长的路上
12-25 1832
关于于PE文件中导出的格式解析
深入解析PE文件结构之导出获取
yiyefangzhou24的专栏
02-17 1万+
新学期新气象,一般是小学作文的开头,在此引用一下。 最近有时间坐下来仔细研究一下PE文件结构了,以前遇到这种问题时总是拆东墙补西墙。学的不够透彻。几天来一番研究之后,和大家分享一下。 PE的文件结构从DOS头开始,其主要作用就两个一个是若是在DOS环境下输出一句话。另一个作用就是找到PE文件头的位置,这是我们要关心的,本文只注重所要关心的问题——导出。和一些你再众多网上资料上很难找到的细节,
HTTPS真的安全吗?—— 使用 mitmproxy 中间人攻击破解 GitHub 登录会话
最新发布
Bruce_xiaowei的博客
01-02 93
本文演示了使用mitmproxy对HTTPS加密通信进行中间人攻击的实验过程。通过搭建Mac主机与Win11虚拟机的网络环境,配置mitmproxy监听9090端口并安装CA证书,成功捕获GitHub登录过程中的明文密码。实验详细说明了代理设置、证书安装和流量捕获步骤,验证了在未正确验证证书的情况下,HTTPS传输的敏感信息仍可能被窃取。结果明,仅依赖HTTPS不能完全保证通信安全,必须配合严格的证书验证机制。文章还提供了常见问题排查方法和实验命令参考。
基于VC的PE文件导出与导入解析工具
#### VC++解析导出 在VC++中,可以通过读取PE文件的导出信息来获取模块的导出函数。基本步骤如下: 1. **定位导出**:通过`IMAGE_OPTIONAL_HEADER`中的`DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]`获取...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值