PE导出导出表

最新推荐文章于 2025-05-05 17:52:01 发布
转载 最新推荐文章于 2025-05-05 17:52:01 发布 · 1.1k 阅读 · 0

本文详细介绍了在C++程序中如何通过提供的入口点函数实现导出函数的功能,包括检查模块头文件和导入库,以及如何通过模块地址和函数名获取实际的函数地址。 

// export_test.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include "windows.h"
int export_jixi(unsigned long pmodule ,char *function)
{
 if(pmodule == 0)
  return -1;
 if(IMAGE_DOS_SIGNATURE != *(unsigned short*)pmodule)
  return -1;
 unsigned long peheader=pmodule + *(unsigned long*)(pmodule + 0x3C);
 if(IMAGE_NT_SIGNATURE != *(unsigned long*)peheader)
  return -1;
 unsigned long export=*(unsigned long*)(peheader + 0x78) + pmodule;
 if(export == pmodule)
  return -1;
 unsigned long base=0;
 unsigned long numoffunction=0;
 unsigned long numofname=0;
 unsigned long *addrofname=NULL;
 unsigned long *addroffunction=NULL;
 unsigned short *addroforgname=NULL;
 //printf("base:%d name:%s\r\n" ,*(unsigned long*)(export+0x10) ,*(unsigned long*)(export+0x0C)+pmodule);
 numoffunction = *(unsigned long*)(export + 0x14);
 numofname = *(unsigned long*)(export + 0x18);
 //printf("numoffunction :%d ,numofname :%d \r\n" ,numoffunction ,numofname);
 addrofname = (unsigned long*)(*(unsigned long*)(export + 0x20) + pmodule);
 addroforgname = (unsigned short*)(*(unsigned long*)(export + 0x24) + pmodule);
 addroffunction = (unsigned long*)(*(unsigned long*)(export + 0x1C) + pmodule);
 int index=0;
 for (int i=0 ;i<numofname ;i++)
 {
  if(!strncmp(function ,(char*)(addrofname[i]+pmodule) ,strlen(function)))
  {
    index =base + addroforgname[i];
    return addroffunction[index] + pmodule;
  }
 }
 return 0;
 
}
int main(int argc, char* argv[])
{
 HMODULE hlib=LoadLibrary("kernel32");
 printf("%x\r\n" ,export_jixi((unsigned long)hlib ,"GetProcAddress"));
 return 0;
}


PE_导出
个人笔记
04-01 1238
导出导出概念导出的作用导出数据结构(IMAGE_EXPORT_DIRECTORY)IMAGE_EXPORT_DIRECTORY.nNameIMAGE_EXPORT_DIRECTORY.NumberOfFunctionsIMAGE_EXPORT_DIRECTORY.NumberOfNamesIMAGE_EXPORT_DIRECTORY.AddressOfFunctionsIMAGE_EXPORT_DIRECTORY.nBaseIMAGE_EXPORT_DIRECTORY.AddressOfNamesI
PE结构之导出
weixin_43751677的博客
10-09 442
根据函数地址遍历函数名称RVA,和上面的图是逆过程。
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3934
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出,DLL 文件可
《初识PE导出
weixin_34212762的博客
11-21 196
转自:http://www.blogfshare.com/pe-export.html (二).导出PE文件被执行的时候,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT进行修正。 Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟地址空间,这样的话在各个程序自己看来,自己就拥有几...
PE导出
只为改变自己
05-03 524
PE导出知识
PE-导出
megaparsec
12-19 1104
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
pe导出pe导出pe导出pe导出pe导出pe导出pe导出
08-21
PE导出PE文件结构的一部分,它是程序对外提供服务的关键组件。在深入理解PE导出之前,我们先简单回顾一下PE文件的基本结构。 PE文件由头文件(包含文件头和节)和节组成。文件头提供了关于文件类型、大小、...
PE导出查看器-易语言
06-11
PE导出查看器-易语言》是针对PE(Portable Executable)文件格式中导出解析的一个高级教程源码。PE文件格式是Windows操作系统中用于执行程序的标准格式,而导出则是PE文件中一个重要的组成部分,主要用于...
精选资源
编辑/查看DLL文件的PE导出工具ExpX-v0.5
05-21
利用它可以方便的对PE文件的导出进行增、删、改的操作,现在它还可以用于给没有导出的文件添加导出函数。 这个工具除了PE diy外,通过为导出函数添加Forward信息等方法还可以实现函数hook,dll注入等功能。至于...
PE获取导出 导入 资源 重定位
11-30
DLL封装函数PE结构的操作 win32 控制台程序调用并显示 函数原型 typedef PIMAGE_SECTION_HEADER (*GetSectionHead) (PIMAGE_NT_HEADERS NtHead); typedef PIMAGE_IMPORT_DESCRIPTOR (*GetImportHead) (LPVOID iBase,...
PE文件-导出
weixin_45012273的博客
11-08 1591
导出 导出一般用于DLL文件,DLL导出了什么函数都记录在导出上,在数据目录的第1项,下标为0 导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //保留值 恒定为0 DWORD TimeDateStamp; //和文件头中的地址一样 WORD MajorVersion; //主版本...
PE结构-导出
小喇叭儿滴滴的吹
03-02 497
在上一篇博客中说了导入,所谓的导入,其实相当于记录程序所依赖的函数库信息,类似于你要调用外部函数,总得记录下这个函数在哪个库中,名字或者序号是什么。有了这些信息后,我们就可以LoadLibrary和GetProcAddress获取函数地址了 那么,操作系统是如何来获取函数地址呢,也就是GetProcAddress的实现,这里就涉及到了导出导出,会记录这个库函数的地址是多少,所以简单来说...
PE结构(一)导出
weixin_37673331的博客
02-27 450
导出结构 主要记三张对应关系即可其他结构参照pe结构图一目了然 AddressOfFunctions AddressOfNameOrdinals AddressOfNames 函数地址为准,可以理解为主索引 导出的ordinal+base才是真正的ordinal,图中红色部分ordinal为4,即函数地址中第5条 名字地址索引与ordinal索引一致,一对一。 上代码 # defin...
PE文件:导出
weixin_43742894的博客
04-01 938
导出提供了一些函数供调用者使用。一般来说DLL提供了一些函数可以供外部使用,这些函数通过导出被调用。 一般来说,dll都有导出,exe都没有导出,但是也有情况,dll没有导出,exe有导出
PE文件结构(导出
weixin_43754657的博客
05-05 962
什么是导出导出PE文件中记录动态链接库(DLL)对外提供的函数或数据的列,包含函数名称、序号和内存地址等信息,供其他程序调用可以使用IDA等工具查询dll,sys,exe的导出函数可以看到在IDA中已经成功的给我们查找出了当前dll的导出函数首先先回忆一下之前pe的内容1.DOS头,DOS块2.NT头,标准pe头,扩展pe头在扩展pe头的最后一个属性中,就存放着对应的16张 ( IMAGE_DATA_DIRECTORY )第一个结构体数组就存放的是导出的位置和大小。
手工解析PE(导出)
GNAIXGNAHZ的博客
06-19 367
手工解析PE(导出)
PE结构】4.导出
SMOne
06-24 855
一、前言 二、PE整体结构 三、DOS头 四、NT头 五、区段头 六、导出 七、导入 八、资源 九、其他 1.概念 导出 是指PE文件导出的供其他PE文件使用的函数、变量、或者类的行为。 符号 这些导出的函数、变量、类一般称为符号。 导出 是存储导出的这些符号的。通过导出,能够定位这些符号。 2.导出定位 前面提到的 ...
PE导出分析
istream1的博客
12-06 504
导出大多存在于DLL中,目的就是用来导出其他exe运行的函数。不管exe或者DLL的本质都是PE文件。 DLLIMPORT关键字可以用来修饰某个函数或者时变量就会被导出。 1.3 测试代码 1.4 结果 3.导出的位置 导出位于扩展PE头的DIRECTORY DataDirectory[10]里,该数组有10个成员,第一个就是导出,即DIRECTORY DataDirectory[0]。关于PE文件结构前面提到很多,这里不再赘述,直接用StudyPE+工具找
pe导出
最新发布
09-15
PE导出(Export Table)是Windows可执行文件中的一个结构,记录了可执行文件中某些函数或变量的名称和地址,这些名称和地址可供其他程序调用或使用。当PE文件执行时,Windows装载器将文件装入内存并将导入中登记的DLL文件一并装入,再根据DLL文件中函数的导出信息对可执行文件的导入(IAT)进行修正 [^1]。 导出的结构体定义如下: ```c typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD Name; // DLL名称的RVA DWORD Base; // 导出函数序号的起始值 DWORD NumberOfFunctions; // 实际导出的函数数量 DWORD NumberOfNames; // 按名称导出的函数数量 DWORD AddressOfFunctions; // 函数地址数组的RVA DWORD AddressOfNames; // 函数名称数组的RVA DWORD AddressOfNameOrdinals; // 函数序号数组的RVA } IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY; ``` 其中,`TimeDateStamp` 是导出生成的时间戳;`Name` 为模块名;`Base` 是序号的基数,导出函数的序号值从 `Base` 开始递增;`NumberOfFunctions` 示所有导出函数的数量;`NumberOfNames` 是按名字导出函数的数量;`AddressOfFunctions` 指向函数地址RVA;`AddressOfNames` 指向函数名RVA;`AddressOfNameOrdinals` 指向函数名索引RVA [^2][^4]。 导出的大小比较固定,比较关键的是最后三个字段,分别指向了3个不同的,而这3个之间也有关联。`AddressOfNames` 和 `AddressOfNameOrdinals` 是按照顺序一一对应的(每个中单元数量也是由 `NumberOfNames` 决定的),`AddressOfNamesOrdinals` 中的序号值示在 `AddressOfFunction` 中对应函数的行号(从0开始),其值加上 `base` 值等于在 `.def` 文件中定义的真正的函数的导出序号值。`AddressOfFunction` 是按照在 `.def` 文件中的函数顺序排列的,只不过中间多了一些 `NULL` 值。这样其他程序就可以通过函数名称地址,找到函数序号,然后对应找到函数具体代码内容 [^5]。 在分析时,用工具找出的导出位置通常是RVA(内存偏移地址)的值,要转化成FOA(文件偏移地址)才能分析 [^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值