Windows导出表结构及GetProcAddress实现

最新推荐文章于 2025-12-22 21:00:47 发布
原创 最新推荐文章于 2025-12-22 21:00:47 发布 · 345 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

Windows导出表结构

Windows导出表分为三个部分:

  1. 导出地址表EAT,里面存的函数的RVA
  2. 导出名称表ENT,存的是函数名
  3. 序号表EOT,作用是建立ENT到EAT的连接。当通过函数名查找函数时,先在ENT里找到函数名对应的下标index1,在EOT通过index1可以找到函数在EAT中的下标index2,进而获取到对应函数的RVA。

GetProcAddress实现

函数定义

FARPROC GetProcAddress(
  [in] HMODULE hModule,
  [in] LPCSTR  lpProcName
);

第一个参数是一个HMODULE,就是我们要查找函数所在的那个dll。

第二个参数是函数名,也可以是EOT中的序号,这个GetProcAddress是支持通过Ordinal查找函数的。

GetProcAddress需要先解析PE文件头然后获取到导出表所在的位置:

PIMAGE_EXPORT_DIRECTORY ExportDir = (PIMAGE_EXPORT_DIRECTORY)(pBase + OptHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);

导出表的结构定义如下:

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

AddressOfNames是一个DWORD类型的指针的RVA,指向ENT。ENT里并不直接存放名称字符串,而是存放着指向函数名称字符串的RVA。所以总体的转换关系应该是先获取到ENT的RVA,再通过ENT获取到函数名称:

DWORD* pdwNameAddr = (DWORD*)(pBase + ExportDir->AddressOfNames); //获取ENT
CHAR* pFuncName = (CHAR*)(pBase + pdwNameAddr[i]); //获取函数名

AddressOfFunctions也是一个DWORD类型的指针的RVA,指向的是EAT,EAT里存的就是我们要找的函数的RVA。

AddressOfNameOrdinals是一个WORD类型的指针的RVA,取值的时候下标是ENT里的下标,取出来的值就是EAT里对应函数的RVA。

通过函数名查找

如果需要通过函数名查找,那么就需要在ENT中找到函数名对应的下标index1,然后通过EOT找到在EAT中对应的位置,即EOT[index1] = index2,这个index2就是EAT中函数的下标。

WORD ordinal = pwOrdinals[i]; //获取函数在EAT中的下标
DWORD dwFunctionRVA = pdwFunctions[ordinal]; //获取函数的RVA

通过Ordinal查找

除了通过名称获取函数之外,还有一种方法是通过序号获取,相当于跳过了在ENT中查找这个步骤:

WORD wOrg = (WORD)lpProcName - ExportDir->Base;
DWORD dwFunctionRVA = pdwFunctions[wOrg];

Forwarded Export

在 PE 导出表中,如果一个导出项的 RVA 指向的地址位于导出目录(Export Directory)所在的内存范围内,那么这个 RVA 实际上并不是函数代码的入口,而是一个以 null 结尾的 ASCII 字符串。

这个字符串的格式通常是:DllName.ExportName(例如 NTDLL.RtlAllocateHeap)。

我们需要在获取 RVA 后增加一个判断逻辑:如果地址在导出表范围内,就解析字符串并递归调用。

BOOL CheckForwardedExport(_In_ DWORD RVA, _In_ IMAGE_OPTIONAL_HEADER OptHeader) {
	return  (RVA >= OptHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress
		&& RVA < OptHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress + OptHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size);
}

当发现了Forwarded Export之后,我们需要解析一下NTDLL.RtlAllocateHeap这个类型的字符串,前半部分是需要加载的dll,这里我直接用LoadLibrary加载了(有空我也可以实现一下),后半部分是要加载的函数名,和前面的查找过程差不多的。

代码如下:

VOID* ForwardedExport(_In_ const CHAR* pForwardStr) {
	const CHAR* dot = strchr(pForwardStr, '.');
	CHAR pDll[MAX_PATH] = { 0 };
	CHAR pFunctionName[MAX_PATH] = { 0 };
	memcpy(pDll, pForwardStr, dot - pForwardStr);
	strcat_s(pDll, MAX_PATH, ".dll");
	strcpy_s(pFunctionName, MAX_PATH, dot + 1);

	HMODULE hMod = LoadLibraryA(pDll);

	return MyGetProcAddress(hMod, pFunctionName);
}

结果验证

验证结果是采用了的系统API GetProcAdress看获取同一个函数的地址是不是一样的:

	WORD wOrg = 10;
	VOID* MyAddress = MyGetProcAddress(hmodule, (LPCSTR)wOrg);
	FARPROC SysAddress = GetProcAddress(hmodule, (LPCSTR)wOrg);
	std::cout << "MyGetProcAddress: " << std::hex << MyAddress << std::endl;
	std::cout << "GetProcAddress: " << std::hex << SysAddress << std::endl;
	std::cout << "MyGetProcAddress == GetProcAddress: " << (MyAddress == SysAddress) << std::endl;

完整的demo见https://github.com/BlackIce417/MyGetProcAddress

详细介绍GetProcAddress()
felicity_one的博客
03-14 1368
作用从指定的 DLL 模块中检索导出函数的地址,支持通过函数名或序号访问。该函数是动态链接的核心实现,广泛应用于插件系统、内存注入、免杀技术等领域。函数原型​参数hModule:DLL 模块的句柄,可通过或获取。lpProcName:函数名(LPCWSTR)或序号(低 16 位为序号,高 16 位为 0)。返回值成功时返回函数地址FARPROC类型)。失败时返回NULL,可通过 GetLastError获取错误代码(如126表示模块未找到)。
GetProcAddress寻找dll导出名称表中函数名称的策略--首项比对+二分法
兰妮
08-12 1188
前言: 之前学完PE结构导出表后,原以为只要是出现在导出名称表中的函数,就可以被其他程序调用。最近研究java的JNI实现,调用dll时也想证明这一点,随便去windows拽了一个dll,随便改了一个导出名称表的函数名,来给java调用,发现竟然不行。而后回到C,写了一个.exe调用这个dll的改之后的方法还是不行,GetProcAddress返回值为0。ollydbg跟汇编跟了好久才发现,问题...
解析导入表及自实现GetProcAddress
weixin_50217210的博客
07-19 387
对PE结构的导出表进行解析
1.15 自实现GetProcAddress
热门推荐
LYSHARK
09-04 1万+
在正常情况下,要想使用`GetProcAddress`函数,需要首先调用`LoadLibraryA`函数获取到`kernel32.dll`动态链接库的内存地址,接着在调用`GetProcAddress`函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址,但在有时这个函数会被保护起来,导致我们无法直接调用该函数获取到特定函数的内存地址,此时就需要自己编写实现`LoadLibrary`以及`GetProcAddress`函数,该功能的实现需要依赖于`PEB`线程环境块,通过线程环境块可遍历出`k
PE文件结构—导出表解析
weixin_48257887的博客
05-11 342
【代码】PE文件结构—导出表解析。
PE知识之实现GetProcAddress
LuciferM_S的博客
04-29 443
自行实现GetProcAddress
PE-导出
megaparsec
12-19 1113
导出导出表描述了导出表所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出表存在于动态链接库文件里。导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出表作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出表。 通常情况下,导出表存在于动态链接库文件里。 导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
PE结构&导出
寻梦&之璐
02-03 3616
导出表的作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出表。 通常情况下,导出表存在于动态链接库文件里。但不能简单地认为EXE中没有导出表,例如WinWord.exe文件里就有;也不能简单地认为所有的DLL中都有导出表,例如一些专门存放资源位文件的DLL里就没有导出表。 它的存在可以让程序开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发着只能通过函数名称,反汇编代码或者运行结果对函数的调用方式,函数的功
PE结构-导出
小喇叭儿滴滴的吹
03-02 499
在上一篇博客中说了导入表,所谓的导入表,其实相当于记录程序所依赖的函数库信息,类似于你要调用外部函数,总得记录下这个函数在哪个库中,名字或者序号是什么。有了这些信息后,我们就可以LoadLibrary和GetProcAddress获取函数地址了 那么,操作系统是如何来获取函数地址呢,也就是GetProcAddress实现,这里就涉及到了导出表。导出表,会记录这个库函数的地址是多少,所以简单来说...
易语言源码易语言内存搜索导出表函数源码.rar
03-30
在易语言中实现导出表函数功能,需要对Windows下的PE( Portable Executable)文件结构有深入的了解,特别是PE头和导出目录部分。源码中应当包含了对DLL文件的解析,以及提取导出函数名、地址和序号的代码。在这个...
易语言输出DLL导出表源码
06-02
此外,对于导出表的详细格式和结构,你需要了解PE文件格式,这是Windows可执行文件(包括DLL)的基础。 在`content.txt`这个文件中,可能包含了实现这一功能的具体源代码。分析和理解这段代码将有助于你深入掌握...
01.04 Java基础篇|泛型、注解与反射实战
u010105645的专栏
12-21 662
Java泛型、注解与反射实战摘要 本文深入解析Java三大核心特性:泛型、注解与反射。泛型部分详细剖析类型擦除机制,展示编译后类型参数被擦除为Object或上界类型的过程,并指出由此带来的限制。通配符章节重点讲解<? extends T>和<? super T>的特性差异:前者支持安全读取但限制写入,后者允许安全写入但读取受限。通过类型关系图和代码示例,阐明上界通配符适合只读场景,下界通配符适用于写入操作。反射部分虽未展开,但暗示其与注解共同构成运行时动态扩展的基础。全文采用理论解析
【从零开始的Qt开发指南】(十一)Qt常用控件之多元素控件与容器类控件深度解析
2301_79248256的博客
12-17 936
本文详细介绍了Qt GUI开发中常用的多元素控件(ListWidget/TableWidget/TreeWidget)和容器类控件(GroupBox/TabWidget)。多元素控件专注于批量数据展示与交互,包括列表、表格和树形结构三种形式;容器类控件则擅长界面组织与分组,通过分组框和标签页优化布局。文章以Qt5.14为基础,通过属性解析、实战案例和进阶技巧,全面讲解了这些控件的核心用法、常见问题及解决方案,帮助开发者高效构建复杂界面。内容涵盖基础增删改查操作、进阶功能实现以及典型应用场景,是Qt界面开发的
c# 1216
czhc1140075663的博客
12-17 235
已通过配置路径,添加收入 支出条目 重启软件后 原数据不见,但是打开软件后,收入没保存,日统计收支情况只显示支出,添加支出 收入后,日统计数据表格中无数据显示。收入数据未产生,只有支出数据。
IO练习——网络爬虫(爬取数据)
2401_84643729的博客
12-15 894
Java练习——IO流练习题
SpringBoot用JPA接口实现分页和排序
最新发布
Angletank的博客
12-22 175
一些业务中,需要通过分页实现分批返回数据,或者需要对数据进行排序操作,可以使用Jpa组件的PagingAndSortingRepository接口实现
cmake_第二章 CMake基础语法_cmake列表命令list(),字符串string()和aux_source_directory()
weixin_43916755的博客
12-18 760
本文介绍cmake列表命令list(),字符串string()和aux_source_directory()
导出树形结构,excel
jah
12-18 162
【代码】导出树形结构,excel。
数据结构——链表自实现
2403_87935067的博客
12-18 374
❀保持低旋律节奏->
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值