《Windows PE》7.3 遍历资源表

于 2024-10-21 07:56:02 发布
阅读量331 收藏 7
点赞数 5
分类专栏: Windows PE 文章标签: windows PE 汇编 c语言
本文链接:https://blog.youkuaiyun.com/bcdaren/article/details/143102748
版权

本节我们将通过一个示例程序实现对资源表的遍历。

本节必须掌握的知识点:

        资源表遍历

7.3.1 资源表遍历

实验四十九:遍历资源表

●模块1:resource.h

//{{NO_DEPENDENCIES}}

// Microsoft Visual C++ 生成的包含文件。

// 供 peinfo.rc 使用

//

#define ICO_MAIN                 111

#define DLG_MAIN                 1000

#define IDC_INFO                 001

#define IDM_MAIN                 2000

#define IDM_OPEN                 2001

#define IDM_EXIT                 2002

#define IDM_1                    4000

#define IDM_2                    4001

#define IDM_3                    4002



// Next default values for new objects

//

#ifdef APSTUDIO_INVOKED

#ifndef APSTUDIO_READONLY_SYMBOLS

#define _APS_NEXT_RESOURCE_VALUE        113

#define _APS_NEXT_COMMAND_VALUE         4003

#define _APS_NEXT_CONTROL_VALUE         1002

#define _APS_NEXT_SYMED_VALUE           101

#endif

#endif

●模块2:peinfo.rc

// Microsoft Visual C++ generated resource script.

//

#include "resource.h"



#define APSTUDIO_READONLY_SYMBOLS

/

//

// Generated from the TEXTINCLUDE 2 resource.

//

#include "winres.h"



/

#undef APSTUDIO_READONLY_SYMBOLS



/

// 中文(简体,中国) resources



#if !defined(AFX_RESOURCE_DLL) || defined(AFX_TARG_CHS)

LANGUAGE LANG_CHINESE, SUBLANG_CHINESE_SIMPLIFIED



#ifdef APSTUDIO_INVOKED

/

//

// TEXTINCLUDE

//



1 TEXTINCLUDE

BEGIN

    "resource.h\0"

END



2 TEXTINCLUDE

BEGIN

    "#include ""winres.h""\r\n"

    "\0"

END



3 TEXTINCLUDE

BEGIN

    "\r\n"

    "\0"

END



#endif    // APSTUDIO_INVOKED



/

//

// Dialog

//



DLG_MAIN DIALOGEX 50, 50, 427, 300

STYLE DS_SETFONT | DS_MODALFRAME | WS_POPUP | WS_VISIBLE | WS_CAPTION | WS_SYSMENU

CAPTION "PE文件头中几个关键地址的定位:"

MENU IDM_MAIN

FONT 9, "宋体", 0, 0, 0x0

BEGIN

    CONTROL         "",IDC_INFO,"RichEdit20W",ES_MULTILINE | ES_NOHIDESEL | ES_READONLY | ES_WANTRETURN | WS_BORDER | WS_VSCROLL | WS_HSCROLL | WS_TABSTOP,7,7,411,280,WS_EX_ACCEPTFILES

END



/

//

// DESIGNINFO

//



#ifdef APSTUDIO_INVOKED

GUIDELINES DESIGNINFO

BEGIN

    DLG_MAIN, DIALOG

    BEGIN

        LEFTMARGIN, 7

        TOPMARGIN, 7

    END

END

#endif    // APSTUDIO_INVOKED



/

//

// AFX_DIALOG_LAYOUT

//



DLG_MAIN AFX_DIALOG_LAYOUT

BEGIN

    0

END



RESULT_MODULE AFX_DIALOG_LAYOUT

BEGIN

    0

END



/

//

// Menu

//



IDM_MAIN MENU

BEGIN

    POPUP "文件(&F)"

    BEGIN

        MENUITEM "打开文件(&O)...",            IDM_OPEN

        MENUITEM SEPARATOR

        MENUITEM "退出(&x)",                   IDM_EXIT

    END

    POPUP "编辑(&E)"

    BEGIN

        MENUITEM SEPARATOR

    END

    POPUP "格式(&O)"

    BEGIN

        MENUITEM SEPARATOR

    END

    POPUP "查看(&V)"

    BEGIN

        MENUITEM "源文件",                  IDM_1

        MENUITEM "窗口透明度",              IDM_2

        MENUITEM SEPARATOR

        MENUITEM "大小",                    IDM_3

    END

    POPUP "帮助(&H)"

    BEGIN

        MENUITEM SEPARATOR

    END

END



/

//

// Icon

//



// Icon with lowest ID value placed first to ensure application icon

// remains consistent on all systems.

ICO_MAIN                ICON                    "main.ico"



#endif    // 中文(简体,中国) resources

/



#ifndef APSTUDIO_INVOKED

/

//

// Generated from the TEXTINCLUDE 3 resource.

//



/

#endif    // not APSTUDIO_INVOKED

●模块三:info.h

#pragma once

#ifndef INFO_H_

#define INFO_H_



#include <windows.h>

#include <richedit.h>   //CHARFORMAT富文本结构定义

#include <commctrl.h>       //通用控件

#pragma comment(lib,"comctl32.lib")

#include <strsafe.h>    //StringCchCopy

#include <stdlib.h>



//函数声明

BOOL CALLBACK DlgProc(HWND hWnd, UINT uMsg, WPARAM wParam, LPARAM lParam);

void Exception(void);

void init(); //初始化

void  _OpenFile();//打开PE文件并处理

DWORD RVAToOffset(IMAGE_DOS_HEADER * lpFileHead, DWORD dwRVA);// 将内存偏移量RVA转换为文件偏移

DWORD GetRVASection(IMAGE_DOS_HEADER * lpFileHead, DWORD dwRVA);//查找 RVA 所在的节区

int  CALLBACK _Handler(EXCEPTION_POINTERS * lpExceptionPoint);

void ShowErrMsg();

void _AppendInfo(const TCHAR * _lpsz);//往文本框中追加文本

//PE文件处理模块

void _getMainInfo(PBYTE, IMAGE_NT_HEADERS *, int);//从内存中获取PE文件的主要信息

void _getResourceInfo(PBYTE, IMAGE_NT_HEADERS *, int);//获取PE文件的资源信息

//将PEInfo.txt文本信息读入RichEdit控件

void _readToRichEdit();



#endif

●模块四:pemain.c(略)

●模块五:RvaToFileOffset.c(略)

●模块六:Getpeinfo.c(略)

●模块七:GetResourceInfo.c 

/*

获取PE资源信息

*/

#include <windows.h>

#include "info.h"



extern TCHAR szFileName[MAX_PATH];  //pemian.c模块中定义

extern HANDLE hWinEdit,hFileDump;

extern HWND hWinMain;



void _AppendInfo(const TCHAR * _lpsz);

DWORD RVAToOffset(IMAGE_DOS_HEADER * lpFileHead, DWORD dwRVA);

DWORD GetRVASection(IMAGE_DOS_HEADER * lpFileHead, DWORD dwRVA);



//参数1:PE文件地址;参数2:资源块起始地址;参数3:目录项地址:参数4:层级

void ProcessRes(PBYTE lpFile, PBYTE lpRes, IMAGE_RESOURCE_DIRECTORY * lpResDir, DWORD dwLevel)

{

    const TCHAR szLevel1[] = TEXT("\r\n---------------------------------------------------------\r\n")

        TEXT("资源类型:%s\r\n")

        TEXT("---------------------------------------------------------\r\n");

    const TCHAR szResData[] = TEXT("     文件偏移:%08X (代码页=%04X, 长度%d字节)\r\n");

    const TCHAR szLevel1byID[] = TEXT("%d (自定义编号)");

    const TCHAR szLevel2byID[] = TEXT("  ID: %d\r\n");

    const TCHAR szLevel2byName[] = TEXT("  Name: %s\r\n");

    const TCHAR szType[][16] = {

                            TEXT("光标        "),//1

                            TEXT("位图        "),//2

                            TEXT("图标        "),//3

                            TEXT("菜单        "),//4

                            TEXT("对话框      "),//5

                            TEXT("字符串      "),//6

                            TEXT("字体目录    "),//7

                            TEXT("字体        "),//8

                            TEXT("加速键      "),//9

                            TEXT("未格式化资源 "),//10

                            TEXT("消息表      "),//11

                            TEXT("光标组      "),//12

                            TEXT("未知类型    "),//13

                            TEXT("图标组      "),//14

                            TEXT("未知类型    "),//15

                            TEXT("版本信息    ") //16

    };



    DWORD dwNextLevel;

    static TCHAR szBuffer[256];

    static TCHAR szResName[256];

    IMAGE_RESOURCE_DIRECTORY * lpstRES_DIR;//资源目录

    IMAGE_RESOURCE_DIRECTORY_ENTRY * lpstRES_DIR_ENT;

    IMAGE_RESOURCE_DATA_ENTRY * lpstRES_DATA_ENT;

    int number; //资源数量

    DWORD lpAddr, address;

    DWORD IDname, dwBytesWrite;



    dwNextLevel = dwLevel + 1;

    //检查资源目录表,得到资源目录项的数量

    lpstRES_DIR = lpResDir;

    number = lpstRES_DIR->NumberOfIdEntries + lpstRES_DIR->NumberOfNamedEntries;

//IMAGE_RESOURCE_DIRECTORY结构后面紧跟着是IMAGE_RESOURCE_DIRECTORY_ENTRY结构

    lpstRES_DIR_ENT = (IMAGE_RESOURCE_DIRECTORY_ENTRY *)((PBYTE)lpstRES_DIR + sizeof(IMAGE_RESOURCE_DIRECTORY));



    //循环处理每个资源目录项

    while (number--)

    {

        RtlZeroMemory(szBuffer, sizeof(szBuffer));

//OffsetToData字段最高位为1,后七位指向下层目录块的起始地址IMAGE_RESOURCE_DIRECTORY结构

        lpAddr = lpstRES_DIR_ENT->OffsetToData;

        if (lpAddr & 0x80000000)

        {

            lpAddr &= 0x7fffffff;

            lpAddr += (DWORD)lpRes;

            //第一层:资源类型

            if (dwLevel == 1)

            {

                IDname = lpstRES_DIR_ENT->Name;//目录项名称字符串或ID

//最高位为1时,低7位值作为指向UNICODE编码的资源名IAMGE_RESOURCE_STRING_U结构

                if (IDname & 0x80000000)

                {

                    IDname &= 0x7fffffff;

                    IDname += (DWORD)lpRes;

                    //复制UNICODE资源名

                    lstrcpy(szResName, (LPCWSTR)(IDname + 2));

                    address = (DWORD)szResName;

                }

                //高位为0时,表示字段的值作为ID使用

                else

                {

                    if (IDname <= 16)   //为预定义资源

                    {

                        address = (DWORD)&szType[IDname - 1];

                    }

                    else //大于16,自定义资源

                    {

                        wsprintf(szResName, szLevel1byID, IDname);

                        address = (DWORD)szResName;

                    }

                }

                wsprintf(szBuffer, szLevel1, (PBYTE)address);

            }

            //第二层:资源(ID或名称)

            else if (dwLevel == 2)

            {

                IDname = lpstRES_DIR_ENT->Name;//目录项名称字符串或ID

                //资源以字符串方式命名

                if (IDname & 0x80000000)

                {

                    IDname &= 0x7fffffff;

                    IDname += (DWORD)lpRes;

                    //复制UNICODE资源名

                    lstrcpy(szResName, (LPCWSTR)(IDname + 2));

                    wsprintf(szBuffer, szLevel2byName, szResName);

                }

                //资源以 ID 命名

                else

                {

                    wsprintf(szBuffer, szLevel2byID, IDname);

                }

            }

            else

                break;

            //_AppendInfo(szBuffer);

            //写入Dump文件

            dwBytesWrite = 0;

            WriteFile(hFileDump, szBuffer,

sizeof(szBuffer), &dwBytesWrite, NULL);

            ProcessRes(lpFile, lpRes,

(IMAGE_RESOURCE_DIRECTORY *)lpAddr, dwNextLevel); //递归调用

        }

        //OffsetToData字段最高位为0,不是资源目录则显示资源详细信息,

        //后七位指向用来描述资源数据块的IMAGE_RESOURCE_DATA_ENTRY结构

        else

        {

            lpAddr += (DWORD)lpRes;

            lpstRES_DATA_ENT = (IMAGE_RESOURCE_DATA_ENTRY *)lpAddr;

            address = RVAToOffset((IMAGE_DOS_HEADER *)lpFile,

lpstRES_DATA_ENT->OffsetToData);

            if (!address)

                return;



            wsprintf(szBuffer, szResData, address,

                lpstRES_DIR_ENT->Name, lpstRES_DATA_ENT->Size);

            //_AppendInfo(szBuffer);

            //写入Dump文件

            dwBytesWrite = 0;

            WriteFile(hFileDump, szBuffer, sizeof(szBuffer),

 &dwBytesWrite, NULL);

        }

        lpstRES_DIR_ENT++;

    }

}



void _getResourceInfo(PBYTE lpFile, IMAGE_NT_HEADERS * _lpPeHead, int _dwSize)

{

    const TCHAR szMsg5[] = TEXT("\r\n\r\n文件名:%s\r\n")

        TEXT("---------------------------------------------------------\r\n")

        TEXT("资源所处的节:%s\r\n");

    const TCHAR szErrNoRes[] = TEXT("\r\n这个文件中没有包含资源!");



    static TCHAR szBuffer[256];

    static TCHAR szSectionName[16];

    static TCHAR szNameB[256];

    static TCHAR szNameW[256];

    IMAGE_NT_HEADERS32 * lpstNT32;      //PE32文件头

    IMAGE_NT_HEADERS64 * lpstNT64;      //PE64文件头

    IMAGE_RESOURCE_DIRECTORY * lpstRES_DIR;资源目录

    DWORD rva, address, dwBytesWrite;



    lpstNT32 = _lpPeHead;

    lpstNT64 = (IMAGE_NT_HEADERS64 *)_lpPeHead;

    //检测是否存在资源--数据目录第2项

    if (lpstNT64->OptionalHeader.Magic == 0x020B) //64位PE文件

    {//数据目录项的第3项

        rva = lpstNT64->OptionalHeader.DataDirectory[2].VirtualAddress;

    }

    else

        rva = lpstNT32->OptionalHeader.DataDirectory[2].VirtualAddress;

    if (!rva)

    {

        MessageBox(hWinMain, szErrNoRes, NULL, MB_OK);

        //写入Dump文件

        dwBytesWrite = 0;

        WriteFile(hFileDump, szErrNoRes,

sizeof(szErrNoRes), &dwBytesWrite, NULL);

        return;

    }

    //将 RVA 转换成实际的数据位置

    address = RVAToOffset((IMAGE_DOS_HEADER *)lpFile, rva);

    if (!address)

        return;

    //资源目录的实际地址

lpstRES_DIR = (IMAGE_RESOURCE_DIRECTORY *)(address + (DWORD)lpFile);



    //获取资源目录所在的节区名

    address = GetRVASection((IMAGE_DOS_HEADER *)lpFile, rva);

    if (!address)

        return;

    RtlCopyMemory(szNameB, (LPCWSTR)address, 8);//改用内存拷贝

    //需要将节区名称ASCII码字符转为Unicode字符

    MultiByteToWideChar(CP_ACP, 0, (LPCCH)szNameB, 8, szSectionName, 16);

    //显示一些常用的信息

    RtlZeroMemory(szBuffer, sizeof(szBuffer));

    wsprintf(szBuffer, szMsg5, szFileName, szSectionName);

    //SetWindowText(hWinEdit, szBuffer);

    //写入Dump文件

    dwBytesWrite = 0;

    WriteFile(hFileDump, szBuffer, sizeof(szBuffer), &dwBytesWrite, NULL);



    //显示所有资源目录块的信息

    ProcessRes(lpFile, (PBYTE)lpstRES_DIR, lpstRES_DIR, 1);

}

       运行:

      

图7-6 遍历资源表

提示

1.对于命名的资源类型,输出字符串名称。

资源类型:AFX_DIALOG_LAYOUT

RESULT_MODULE

---------------------------------------------------------

  Name: RESULT_MODULE

    文件偏移:00003AC0 (代码页=0804, 长度2字节)

  ID: 1000

     文件偏移:00003AB8 (代码页=0804, 长度2字节)

2.示例程序对于非资源内容(例如应用程序清单)归类于自定义资源类型。

资源类型:24 (自定义编号)

---------------------------------------------------------

 ID: 1

文件偏移:00007DD0 (代码页=0409, 长度381字节)

博客
《Windows PE》18.3 壳破解
10-31 970
看完了上一节,读者应该会有些感慨,破解是如此的简单。如果你是收费商业软件的一方,肯定会觉得应该需要做点什么。在本章的第一节,我们介绍了很多种不同的验证方式,可以根据具体情况,选择一种合适的验证方法。但是,不论采用什么样的验证方式,验证本身也是需要防护的。我们可以使用加密壳对验证代码进行加密保护。因此,加密壳又被称之为保护的保护。本节我们将介绍register.exe使用UPX壳加密,然后再破解的方法。脱壳后破解带壳破解。
博客
《Windows PE》17.3 FSG壳
10-30 753
回顾第十六章PE病毒的16.2.2病毒分析案例一中,我们分析的病毒样本Lab01-03.exe使用了FSG壳。本节我们就来详细分析FSG壳。静态分析手工脱壳。
博客
《Windows PE》16.4.2 病毒查杀
10-29 881
当单步执行到从入口地址开始的0x61地址处(第一条PUSH指令的下一条指令地址01013061H)时,从context上下文中取出栈顶stCT.Esp的值(000DFF80H),然后调用ReadProcessMemory函数读取该地址处存储的原程序入口地址。接下来我们还是以Win32.Capric.exe的“X病毒”为例,首先使用手工的方法清理病毒,然后再写一个针对该病毒的专杀工具。由上一小节对病毒源代码的分析我们得知,如果需要彻底修复被感染的目标文件,我们需要将被病毒修改的部分逐一进行修复。
博客
《Windows PE》15.1 资源捆绑
10-28 817
在下载应用程序时,我们会发现一些特殊的EXE应用程序。当我们运行EXE程序时会同时下载或生成若干个其他应用程序,并自动运行。这个过程通常会以一种静默的方式悄悄地进行。我们将这一技术称之为EXE捆绑。之所以这样做,好的方面是简化程序下载安装的过程。坏的方面是一些流氓软件可以借此牟利,侵犯用户的选择权。本章介绍两种常用的EXE捆绑的实现方法。本章学习知识概要:资源捆绑补丁捆绑。
博客
《Windows PE》14.1最后一节插入补丁程序
10-27 842
如果我们希望添加不同功能的补丁,只需要替换补丁DLL就可以了。00010430 03 F3 8B 76 78 03 F3 8B 7E 20 03 FB 8B 4E 14 56 .髬vx.髬~ .麐N.V。00010420 00 00 00 8B 40 0C 8B 70 1C AD 8B 58 08 8B 73 3C ...婡.媝.瓔X.媠
博客
《Windows PE》12.4 万能补丁
10-25 875
本节我们将介绍基于嵌入式补丁的万能补丁技术。万能补丁原理示例程序。
博客
《Windows PE》11.2.1 PE变形技术
10-24 864
恶意软件使用PE变形技术来修改PE文件的结构和代码,以产生不同的变种,从而使每个实例看起来不同,难以被传统的基于特征的病毒检测技术所识别。■●代码混淆:恶意软件使用各种技术,如指令替换、指令重排、无用代码插入等,来修改PE文件的代码,使其难以分析和识别。这样可以改变程序的控制流,增加分析的复杂性。【注】我们将在PE加密壳一章详细讲解代码混淆。●API重命名:恶意软件可能会修改PE文件中调用的系统API函数的名称,使其与正常的API名称不同。
博客
《Windows PE》9.2 动态加载技术-获取kernel32.dll基址
10-23 1328
上一节中我们介绍了如何动态调用DLL的方法。首先调用LoadLibrary函数动态加载DLL,然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法,实现对DLL动态链接库中函数的调用。简单来说,需要经过以下三步:步骤1获取kernel32.dll的基地址。
博客
《Windows PE》7.4 资源表应用
10-22 873
本节我们将通过两个示例程序,演示对PE文件内图标资源的置换与提取。更改图标提取图标资源。
博客
《Windows PE》7.2 资源表
10-20 940
在资源表中,IMAGE_RESOURCE_DIRECTORY_ENTRY 的 OffsetToData 字段指向一个 IMAGE_RESOURCE_DATA_ENTRY 结构,该结构描述了资源数据的位置和相关属性。PE 对话框资源的起始位置 01 00 FF FF 00 00 00 00 00 00 00 00 是对话框资源的标识符,用于识别和定位对话框资源在 PE 文件中的位置。资源的每一级目录都会有一个资源目录头,它标识 了该类资源的属性、创建日期和版本等信息,其中也包含了随后的目录项的数量描述信息。
博客
《Windows PE》7.1 资源分类
10-18 766
自定义资源是指在程序中使用的非标准资源,这些资源可以是任何类型的数据或文件,用于存储和使用程序所需的特定信息或内容。在资源脚本文件(.rc 文件)中,可以使用自定义的资源类型来定义和描述这些资源。其在资源 文件中的定义语法如下:资源 ID 类型 ID [DISCARDABLE]BEGIN数据定义……END以下是一个示例:上述代码中,IDR_CUSTOM1 是自定义资源的唯一标识符(ID),CUSTOM 是自定义资源类型指示符,custom.dat 是自定义资源文件的名称。
博客
《Windows PE》6.4.2 远程注入DLL
10-17 463
测试步骤:当PEHeader.exe运行时,运行remoteThread.exe,点击文件菜单”插入到PEHeader.exe”,就可以将DLL远程注入到进程PEHeader.exe中了。对比无DLL注入的方法,使用DLL注入的方法不需要对代码和数据进行重定位(由操作系统自动完成),省去了很多不必要的麻烦,因此也是我们常用的方法。写一个窗口程序,将一个dll通过远程注入的方法,注入到第三章的示例程序PEHeader.exe中,支持32位和64位PE。1.打开本地进程(调用OpenProcess函数)。
博客
《Windows PE》6.4.1 无 DLL远程注入
10-16 853
一旦你的ThreadFunc中有错误,远程线程会立即崩溃。这样,远程进程中的ThreadFunc就会执行不存在的内存数据(至少没有在它自己的内存空间中)。如果我们能够熟练的掌握汇编语言,当然也可以直接使用汇编语言编写一个无DLL注入的程序,毕竟使用汇编语言可以非常方便的直接对代码和数据进行重定位,这是C语言无法做到的。如果这个有争议的CALL是编译器添加的(因为一些不该打开的编译开关比如/GZ打开了),它要么在ThreadFunc的开头要么在ThreadFunc接近结尾的地方。
博客
《Windows PE》6.3 无导入表和重定位表PE文件
10-15 423
本节我们将演示一个无导入表、无重定位表,并且只有一个.text节区的汇编代码程序。汇编代码重定位。
博客
6.2 遍历重定位表
10-14 330
本节我们将编写一个遍历重定位表的示例程序,打印重定位表。遍历重定位表。
博客
《Windows PE》6.1 重定位表
10-12 1152
重定位表(relocation table)是在可执行文件或动态链接库(DLL)中用于指示系统在加载时对代码和数据进行重新定位的数据结构。在可执行文件或 DLL 中,代码和数据通常是使用相对地址进行引用的。当将可执行文件或 DLL 加载到内存中时,如果加载地址与文件中的基地址不匹配,就需要对代码和数据进行重新定位,以确保引用的地址正确。重定位表重定位表的结构与解析重定位表的修改。
博客
《Windows PE》5.3 导出表应用
10-11 1026
本节我们将通过三个实验来说明导出表的应用。实验一修改导出表中的函数地址。实验二直接替换导出函数的代码。实验三导出私有函数修改导出函数地址替换导出函数代码导出私有函数。
博客
《Windows PE》5.2 遍历导出表
10-10 1240
这段代码使用了 EnumProcessModules 函数遍历进程中的模块,并使用 GetModuleInformation 函数获取模块的基址。32位和64位PE文件导出表描述符是相同的,遍历导出表的区别只有两点,32位基址和64位基址,以及NT32位NT头和64位NT头的区别。实验34:方法一,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。实验35:方法二,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。
博客
《Windows PE》5.1 导出表
10-09 1171
该值也是一个指针,与AddressOfNames是一一对应关系,所不同的是,AddressOfNames指向的是字符串的指针数组,而AddressOfNameOrdinals则指向了该函数在AddressOfFunctions中的索引值。●导出函数序号表(Export Function Ordinal Table)是PE文件中导出表的一部分,用于映射导出函数的序号和地址。DLL中的第一个导出函数并不是从0开始的,某导出函数的编号等于从AddressOfFunctions开始的顺序号加上这个值。
博客
《Windows PE》4.3 延迟加载导入表
10-08 961
与导入表不同的是,它所记录的这些DLL动态链接库并不会被操作系统的PE加载器加载,只有等到由其登记的相关函数被应用程序调用时,PE中注册的延迟加载函数才会根据延迟加载导入表中对该函数的描述,动态加载相关链接库并修正函数的VA地址,实现对函数的调用。不过,如果用户选择了Print命令,你就可以调用该DLL中的一个函数,然后它就能够自动进行DLL的加载。5.延迟加载的DLL具备的另一个特性是,按照默认设置,调用的函数可以与一些内存地址相链接,在这些内存地址上,系统认为函数将位于一个进程的地址中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值