逆向——PE导出表分析及应用

原创 已于 2022-03-22 19:46:48 修改 · 2k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全

于 2022-03-22 19:44:59 首次发布

逆向——PE导出表分析及应用

文章目录

前言

本次实验的目的主要是分析PE文件的导出表结构,分析导出函数VA的获取过程,得出导出表结构;研究导出表的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。

本次用到的实验工具有:OllyDBG、Peditor、FlexHex或Winhex

提示:以下是本篇文章正文内容,下面案例可供参考

一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。

画出导出表结构图(类似图2)。

首先先找到PE头,从5045开始偏移78H 得到rva:2140,转化foa:940,
即2140-2000+800=940
在这里插入图片描述
在这里插入图片描述
其为导出表如下图所示:

在这里插入图片描述
函数有AnimateClose、 AnimateOpen、 FadeInOpen、 FadeOutClose
入口地址为:1183、1022、1282、1323

导出表的结构图如下:

最低0.47元/天 解锁文章
PE导出查看器-易语言
06-11
19年9月份左右写的,直接上源码,只解析了PE结构里面的导出
PE导出分析
istream1的博客
12-06 502
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
PE结构导出详细解析
huobengle
01-27 625
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
逆向工程实验二 PE导出分析应用
zzzfff__的博客
11-18 1531
分析PE文件的导出结构,分析导出函数VA的获取过程,得导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。
PE知识复习之PE导出
weixin_30580943的博客
10-03 123
                   PE知识复习之PE导出 一丶简介  在说明PE导出之前.我们要理解.一个PE可执行程序.是由一个文件组成的吗. 答案: 不是.是由很多PE文件组成.DLL也是PE文件.如果我们PE文件运行.那么就需要依赖DLL.系统DLL就是Kerner32.dll user32.dll等等.这些都是PE文件. 什么是导出:     导出就是当前的PE文件...
逆向工程——PE()
weixin_33751566的博客
12-06 602
本章参考书《逆向工程核心原理》 什么是PEPE(Protable Executable),是Windows操作系统下使用的可执行文件,因为Windows分32位操作系统和64位操作系统,因此与之相对应有PE(或称为PE32)PE+(或称为PE32+)。这里主要分析PE32。 PE的分类 其中我们遇见的比较多的是exe可执行文件、sys驱动程序文件、dll...
滴水逆向——PE导出
sunr.
04-10 1744
.知识点: 1.如何定位导出: 数据目录项的第一个结构,就是导出. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; ...
滴水逆向——PE移动导出
sunr.
04-13 985
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到IAT. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统...
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2422
什么是PE文件? PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
逆向工程核心原理》第13章——PE文件格式(2):IAT与EAT
diamond_biu的博客
12-08 2306
PE文件格式(2):IAT与EATIATDLLIMAGE_IMPORT_DESCRIPTOR使用notepad.exe练习1 库名称(Name)2 OriginalFirstThunk-INT3 IMAGE_IMPORT_BY_NAME4 FirstThunk-IATEAT IAT IAT:导入地址(Import Adress Table)。简而言之IAT是一种格,用来记录程序正在使用哪些库中的哪些函数。 DLL 16位DOS时代调用函数时,会从C库中读取相应函数的二进制代码并将其插入应用程序。而Wi
[网络安全自学篇] 六十二.PE文件逆向PE文件解析、PE编辑工具使用和PE结构修改(三)
热门推荐
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
【C++源码】PE文件结构中导出的解析
ProgrammingLearner的博客
08-31 3618
【C++源码】PE文件结构中导出的解析 控制台版本
PE文件的导出解析
做一个快乐学习者
05-31 431
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics;//保留,一直都是00000000 DWORD TimeDateStamp;//导出创建的时间(GMT) WORD MajorVersion;//导出的主版本号 WORD MinorVersion;//导出的次版本号 DWORD ...
逆向PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1555
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
[转载]解析PE结构之-----导出
m0_37442062的博客
12-07 404
PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。 我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。通过我先前文章手写的Hello World程序可以看,要使用任...
PE格式解析-导出分析
走在成长的路上
12-25 1796
关于于PE文件中导出的格式解析
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 411
笔记:PE结构(6)导出解析
逆向-PE文件结构
写代码的小阿帆的博客
05-21 1214
首先复习一下PE文件的结构: MS-DOS头 DOS部首有MZ Header和Dos stub两个部分组成,这两部分通常合成为Dos 文件头,其中Dos stub多由编译器自动生成,用户较少关注,PE文件的第一个字节为IMAGE_DOS_HEADER,其结构如下: 其中e_magic和e_lfanew两个字段比较重要,e_magic被称为魔术字,所有能与MS-DOS兼容的可执行文件内,该值都被设置为5A4DH,对应ASCII码为“MZ”,是DOS系统创建者之一 Mark Zbikowski 的缩写。e_
易语言实现PE导入导出技术解析
本文将详细探讨易语言中的一个特定技术点——导入导出PE(Portable Executable)。 ### PE的概念与重要性 在Windows操作系统中,PE是一种标准的可执行文件格式,它被用于EXE、DLL等多种类型的文件。PE文件包含...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值