PE文件——导入表&导出表&函数覆盖

原创 已于 2022-05-09 11:58:08 修改 · 7.5k 阅读 · 47 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-04-06 02:51:21 首次发布
本文详细介绍了PE文件结构,包括PE头、导入表、导出表的识别与解析。通过Winhex工具展示了如何判断PE文件、查找导入与导出表,并讲解了如何通过修改导出函数实现特定功能,如.exe以动画方式打开和弹出messagebox。此外,还涉及了病毒获取Kernel32模块基地址的重要性以及PEditor与Winhex的使用技巧。

文章目录

PE文件的基本结构图

在这里插入图片描述

  • 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位表位置等。
  • 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。
    在这里插入图片描述

判断是否是PE文件

1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C);
2.跳转后可读取到数据为0000 00B0;
3.再跳转到地址0000 00B0;
4.若该地址数据为50 45(即PE)就为PE文件。
在这里插入图片描述

导入表

导入表结构:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
   
   
    union {
   
   
        DWORD   Characteristics;            
        DWORD   OriginalFirstThunk; // 指向 导入名称表INT(ImportNameTable)的RVA
    } DUMMYUNIONNAME;
    DWORD   TimeDateStamp;                  
    DWORD   ForwarderChain;                 
    DWORD   Name;                   // 指向 DLL名称的地址 RVA
    DWORD   FirstThunk;             // 指向 导入地址表IAT(ImportAddressTable)的RVA
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

导入表&桥1&桥2位置

注意!WinHex右往左读
如:

最低0.47元/天 解锁文章
PE文件分析-导出导入
m0_48995611的博客
06-12 1737
导出 DESC: 记录本模块导出函数的相关信息, 结构如图所示。 RVA: IMAGE_DATA_DIRECTORY[0].VirtualAddress。 导出函数有两种导出方式: (1) 序号导出。直接在导出函数地址通过序号得到函数的 RVA。 (2) 名称导出。先在导出函数名称中找到该函数位置, 再在导出函数名称序号对应位置找到该导出函数的序号, 最后在导出函数地址通过序号得到函数的 RVA。 Name DESC : 本模块名称字符串的 RVA。 NumberOfFunctio
PE文件学习笔记(一)---导入导出
还木人的博客
10-07 3340
最近在看《黑卡免杀攻防》,对讲解的PE文件导入导出的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入导入机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
打印导出
qq_41232519的博客
10-05 785
文章目录一、流程二、演示三、完整代码 一、流程 1、创建一个RVA转FOA的函数 2、创建一个打印导出函数 3、File-> FileBuffer 4、获取头信息 5、获取结构体数组的信息 6、获取导出的地址Rva 7、获取导出的地址Foa 8、导出文件中的地址 9、打印导出的成员属性 10、将导出Name、AddressOfNames、AddressOfFunctions、AddressOfNameOrdinals的Rva转换成Foa 11、 打印导出文件名 12、获取导出函数地址
PEditor(可执行程序PE参数修改工具)
11-10
PEditor可以修改加密过和未加密的可执行程序的sections等,在PE的修改方面,不逊色于LordPE
PE文件导入
LX的专栏
09-26 1080
<br />   在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .idata 段,等等。文本讲述的是把一个PE文件导入打印出来。我注意到 MS 提供了一个
PE文件导入
weixin_43742894的博客
04-01 2091
一个PE文件中的导入,简单来说就是代了该模块调用了哪些外部的API。 导入是逆向和病毒分析中比较重要的一个,在分析病毒时几乎第一时间都要看一下程序的导入的内容,判断程序大概用了哪些功能。
PE结构学习(5)_导入导出
xf555er的博客
08-07 1649
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出里面任何PE文件还会调用哪些PE文件都会记录在导入里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入。...
WIN32汇编语言程序设计——查看PE文件导出
evagenius的博客
03-24 661
PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。在这些包含导出函数的DLL文件中,导出信息被保存在导出中,通过导出,DLL文件向系统提供导出函数的名称、序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。(1) 子程序参数1:已经读取到内存中的文件头的地址。2. 获取数据块的文件偏移地址。
精选资源
Depends.exe &mdash;&mdash; PE依赖模块、导入导出函数查询-附件资源
03-05
Depends.exe &mdash;&mdash; PE依赖模块、导入导出函数查询-附件资源
易语言实现PE导入导出技术解析
本文将详细探讨易语言中的一个特定技术点&mdash;&mdash;导入导出PE(Portable Executable)。 ### PE的概念与重要性 在Windows操作系统中,PE是一种标准的可执行文件格式,它被用于EXE、DLL等多种类型的文件PE文件包含...
PE文件导出函数
01-10
大部分人通过pNTHeader.OptionalHeader.DataDirectory[0].VirtualAddress获取导出函数,但不少DLL需要重新计算偏移,本例通过暴力搜索Section,避免某些情况下读取失败
PE结构讲解2--导入导出
weixin_34366546的博客
08-27 680
本文为转载文章,整理自小甲鱼老师讲的PE结构课程; 一、导入的结构 在 PE文件头的 IMAGE_OPTIONAL_HEADER32 结构中的 DataDirectory(数据目录) 的第二个成员就是指向输入导入)的。而输入是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个被 PE文件链接进来的 DLL文...
PE文件(十)移动导出和重定位
2301_78838647的博客
07-25 1514
此时就可以修改IAT了。当一个PE文件(如.dll/.exe等)需要使用别的模块的函数,也叫做依赖某模块,就需要一个清单来记录使用的模块(一般为.dll文件,为方便理解,以后我们将模块都认为是.dll文件)及使用函数的相关信息(如使用了哪些DLL、使用了这个DLL里的哪些函数、叫什么名、去哪找等),这个清单就叫做导入。元素现形式不同的原因:一个.DLL中的函数可以以函数名称导出,也可以以序号(NONAME)导出,所以当一个PE文件使用别的.DLL中的函数时要考虑这个函数的名字和序号两种情况。
PE文件学习(二)数据目录导出导入
SanSiro1的博客
08-25 4851
数据目录PE中比较重要的一个组成部分,其结构如下: IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]#define IMAGE_DIRECTORY_ENTRY_EXPORT 0 //导出 #define IMAGE_DIRECTORY_ENTRY_IMPORT 1
PE文件结构:导入
WolvenSec的博客
01-15 1142
①。
PE文件导入详解
只为改变自己
05-03 1287
PE导入详解
【第34节】windows原理:PE文件导出导入
最新发布
攻城狮7号的博客
03-30 1034
(1)导出行为和导出用途:PE文件能把自身的函数、变量或者类,提供给其他PE文件使用,这种行为就叫导出导出专门用来存放这些导出项目的信息。当一个PE文件要调用其他PE文件里的导出函数(变量、类)时,依靠导出就能迅速找到它们在文件里的位置。一般来说,这些被导出函数、变量、类,也叫做符号(Symbol)。(2)导出项序号的特点:每一个被导出函数(变量、类),都有一个独一无二的序号。
PE文件导入简介
weixin_43575859的博客
03-12 342
我们在编写程序的时候经常要导入外部的一些函数,通常我们只需要将包含函数的模块导入进来,然后我们直接用函数的名字就可以调用函数了。那么这具体是怎么做到的呢? 当我们使用动态链接库中的函数,只有在程序运行时,库里面的代码才会被调入内存,程序不运行时程序只包含了一些关于要导入的链接库和函数的信息,这些信息就在导入中。(如果有多个程序使用同一个动态链接库,WIndows在物理内中只留一份库的代码,仅通...
PE文件导入解析
做一个快乐学习者
05-31 382
#include &lt;Windows.h&gt; #include &lt;iostream&gt; #include &lt;string&gt; #include &lt;fstream&gt; #include &lt;memory&gt; using namespace std; int rva_to_file(PIMAGE_SECTION_HEADER pSection,int...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值