逆向——PE导出表分析及应用

原创 已于 2022-03-22 19:46:48 修改 · 1.9k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全

于 2022-03-22 19:44:59 首次发布

逆向——PE导出表分析及应用

文章目录

前言

本次实验的目的主要是分析PE文件的导出表结构,分析导出函数VA的获取过程,得出导出表结构;研究导出表的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。

本次用到的实验工具有:OllyDBG、Peditor、FlexHex或Winhex

提示:以下是本篇文章正文内容,下面案例可供参考

一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。

画出导出表结构图(类似图2)。

首先先找到PE头,从5045开始偏移78H 得到rva:2140,转化foa:940,
即2140-2000+800=940
在这里插入图片描述
在这里插入图片描述
其为导出表如下图所示:

在这里插入图片描述
函数有AnimateC

最低0.47元/天 解锁文章
[网络安全自学篇] 六十二.PE文件逆向PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
【C++源码】PE文件结构中导出的解析
ProgrammingLearner的博客
08-31 3573
【C++源码】PE文件结构中导出的解析 控制台版本
逆向基础】常用逆向工具介绍
Yuan's Blog
08-29 7680
文章目录反汇编器IDA调试器OllydbgWindbg修补和转储工具WinHexPEditor集成工具:Immunity Debugger 反汇编器 反汇编器是可以将二进制代码作为输入、生成包含整个或部分程序的汇编语言代码的文本文件的程序。汇编语言代码是目标代码简单的文本映射,所以这个转化过程比较简单。反汇编是一个与处理器相关的过程。 IDA IDA(Interactive Disassembler,交互式反汇编器)是业界一个功能十分强大的反汇编工具,是安全渗透人员进行逆向安全测试的必备工具,其强大的静态
PE导出分析
istream1的博客
12-06 462
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
PE文件结构(导出
最新发布
weixin_43754657的博客
05-05 838
什么是导出导出PE文件中记录动态链接库(DLL)对外提供的函数或数据的列,包含函数名称、序号和内存地址等信息,供其他程序调用可以使用IDA等工具查询dll,sys,exe的导出函数可以看到在IDA中已经成功的给我们查找了当前dll导出函数首先先回忆一下之前pe的内容1.DOS头,DOS块2.NT头,标准pe头,扩展pe头在扩展pe头的最后一个属性中,就存放着对应的16张 ( IMAGE_DATA_DIRECTORY )第一个结构体数组就存放的是导出的位置和大小。
PE结构导出详细解析
huobengle
01-27 581
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
逆向工程实验二 PE导出分析应用
zzzfff__的博客
11-18 1446
分析PE文件的导出结构,分析导出函数VA的获取过程,得导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。
PE知识复习之PE导出
weixin_30580943的博客
10-03 104
                   PE知识复习之PE导出 一丶简介  在说明PE导出之前.我们要理解.一个PE可执行程序.是由一个文件组成的吗. 答案: 不是.是由很多PE文件组成.DLL也是PE文件.如果我们PE文件运行.那么就需要依赖DLL.系统DLL就是Kerner32.dll user32.dll等等.这些都是PE文件. 什么是导出:     导出就是当前的PE文件...
逆向工程——PE()
weixin_33751566的博客
12-06 547
本章参考书《逆向工程核心原理》 什么是PEPE(Protable Executable),是Windows操作系统下使用的可执行文件,因为Windows分32位操作系统和64位操作系统,因此与之相对应有PE(或称为PE32)PE+(或称为PE32+)。这里主要分析PE32。 PE的分类 其中我们遇见的比较多的是exe可执行文件、sys驱动程序文件、dll...
滴水逆向——PE导出
sunr.
04-10 1693
.知识点: 1.如何定位导出: 数据目录项的第一个结构,就是导出. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; ...
滴水逆向——PE移动导出
sunr.
04-13 971
1.为什么要移动各种? a.这些是编译器生成的,里面存储了非常重要的信息。 b.在程序启动的时候,系统会根据这些做初始化的工作: 比如,将用到的DLL中的函数地址存储到IAT. c.为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 各种信息与客户字节的代码和数据都混在一起了,如果进行加密,那系统...
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2322
什么是PE文件? PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
易语言实现PE导入导出技术解析
本文将详细探讨易语言中的一个特定技术点——导入导出PE(Portable Executable)。 ### PE的概念与重要性 在Windows操作系统中,PE是一种标准的可执行文件格式,它被用于EXE、DLL等多种类型的文件。PE文件包含...
PE导出查看器-易语言
06-11
19年9月份左右写的,直接上源码,只解析了PE结构里面的导出
PE文件的导出解析
做一个快乐学习者
05-31 417
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics;//保留,一直都是00000000 DWORD TimeDateStamp;//导出创建的时间(GMT) WORD MajorVersion;//导出的主版本号 WORD MinorVersion;//导出的次版本号 DWORD ...
逆向PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1500
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
[转载]解析PE结构之-----导出
m0_37442062的博客
12-07 381
PE结构中最复杂的就是PE结构中的16个目录,如导入目录,导出目录,重定位目录,资源目录等等。对于病毒分析来说,最为重要的是导入目录和导出目录。在我的手写可执行程序的文章中已经介绍了导入目录。此篇文章将介绍导出目录。 我们知道,一个Windows程序,它所实现的所有功能最终几乎都是调用系统DLL提供的API函数。通过我先前文章手写的Hello World程序可以看,要使用任...
PE格式解析-导出分析
走在成长的路上
12-25 1685
关于于PE文件中导出的格式解析
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 372
笔记:PE结构(6)导出解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值