dll 分析

最新推荐文章于 2025-06-12 15:55:53 发布
转载 最新推荐文章于 2025-06-12 15:55:53 发布 · 434 阅读 · 0
文章标签:

#dll #header #descriptor #import #image #file

     此代码主要是分析dll的导入和导出部分。

     在读取各区段时判断import_table 和export_table,并实现VirtualAddress到实地址的转换

     参考:http://www.heibai.net/article/info/info.php?infoid=38920

 

#include <Windows.h>

#include <iostream>

#include <string>

#include <io.h>

#include <fcntl.h>

using namespace std;

 

int main()

{

string path;

cout<<"输入dll文件路径:";

getline(cin, path);

HFILE file = _open(path.c_str(), _O_RDWR | _O_BINARY);

if(-1 == file)

{

cout<<"文件打开失败!"<<endl;

system("pause");

return 0;

}

 

_IMAGE_DOS_HEADER dos_header;

if(_read(file, &dos_header, sizeof(dos_header)) <= 0)

{

cout<<"Dos文件头读取失败!"<<endl;

system("pause");

return 0;

}

 

if(dos_header.e_magic != IMAGE_DOS_SIGNATURE)

{

cout<<"DOS_HEADER 错误的dos_magic标记!"<<endl;

system("pause");

return 0;

}

 

LONG peHeaderPtr = dos_header.e_lfanew;

_lseek(file, peHeaderPtr, SEEK_SET);

 

_IMAGE_NT_HEADERS pe_header;

if(_read(file, &pe_header, sizeof(pe_header)) <= 0)

{

cout<<"PE文件头读取失败!"<<endl;

system("pause");

return 0;

}

 

if(pe_header.Signature != IMAGE_NT_SIGNATURE)

{

cout<<"PE_HEADER 错误的pe_magic标记!"<<endl;

system("pause");

return 0;

}

 

DWORD numberOfSections = 0;// 区段的个数

DWORD sizeOfCode = 0;// 代码长度和

DWORD sectionAlignment = 0;// 内存中区段排列基数

DWORD fileAlignment = 0;// 磁盘上区段排列基数

 

DWORD exportVptr = pe_header.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;

DWORD dx = 0;

DWORD exportPtr = 0;

 

DWORD importVptr = pe_header.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

DWORD importTableSize = pe_header.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size;

DWORD importDllNum = importTableSize / sizeof(_IMAGE_IMPORT_DESCRIPTOR);

importDllNum--;// 减1是因为Import_table的最后一个总为0

DWORD importDx = 0;

DWORD importPtr = 0;

 

 

numberOfSections = pe_header.FileHeader.NumberOfSections;

sizeOfCode = pe_header.OptionalHeader.SizeOfCode;

sectionAlignment = pe_header.OptionalHeader.SectionAlignment;

fileAlignment = pe_header.OptionalHeader.FileAlignment;

 

// 读取各区段

for(DWORD i = 0; i < numberOfSections; i++)

{

_IMAGE_SECTION_HEADER section_header;

if(_read(file, &section_header, sizeof(section_header)) <= 0)

{

cout<<"SECTION头读取失败!"<<endl;

system("pause");

return 0;

}

cout<<"区段"<<i<<": "<<section_header.Name<<endl;

if(section_header.Characteristics & IMAGE_SCN_MEM_EXECUTE)

{

cout<<"此区段为可执行代码"<<endl;

}

// 判断export所在区域

if(section_header.VirtualAddress < exportVptr && exportPtr == 0)

{

if(section_header.VirtualAddress + section_header.SizeOfRawData > exportVptr)

{

dx = section_header.VirtualAddress - section_header.PointerToRawData;

exportPtr = exportVptr - dx;

cout<<"export_table在此区段"<<endl;

}

}

 

// 判断import所在区域

if(section_header.VirtualAddress < importVptr && importPtr == 0)

{

if(section_header.VirtualAddress + section_header.SizeOfRawData > importVptr)

{

importDx = section_header.VirtualAddress - section_header.PointerToRawData;

importPtr = importVptr - importDx;

cout<<"import_table在此区段"<<endl;

}

}

 

cout<<"区段大小:"<<section_header.SizeOfRawData<<endl<<endl;

}

 

_lseek(file, exportPtr, SEEK_SET);

_IMAGE_EXPORT_DIRECTORY export_header;

if(_read(file, &export_header, sizeof(export_header)) < 0)

{

cout<<"EXPORT头读取失败!"<<endl;

system("pause");

return 0;

}

 

cout<<"-----------------------导出信息-----------------------"<<endl;

cout<<"导出函数:"<<export_header.NumberOfFunctions<<endl;

DWORD seek = export_header.AddressOfNames - dx;

DWORD* arrNames = new DWORD[export_header.NumberOfNames];

_lseek(file, seek, SEEK_SET);

if(_read(file, arrNames, sizeof(DWORD) * export_header.NumberOfNames) < 0)

{

cout<<"name_table读取失败!"<<endl;

system("pause");

return 0;

}

 

char c;

for(DWORD i = 0; i < export_header.NumberOfNames; i++)

{

seek = arrNames[i] - dx;

_lseek(file, seek, SEEK_SET);

_read(file, &c, 1);

while(c != '\0')

{

cout<<c;

_read(file, &c, 1);

}

cout<<endl;

}

 

cout<<endl<<"-----------------------引用信息-----------------------"<<endl;

cout<<"引用Dll数:"<<importDllNum <<endl;

for(DWORD i = 0; i < importDllNum ; i++)

{

_lseek(file, importPtr + i * sizeof(_IMAGE_IMPORT_DESCRIPTOR), SEEK_SET);

_IMAGE_IMPORT_DESCRIPTOR import_header;

if(_read(file, &import_header, sizeof(import_header)) < 0)

{

cout<<"EXPORT头读取失败!"<<endl;

system("pause");

return 0;

}

seek = import_header.Name - importDx;

_lseek(file, seek, SEEK_SET);

_read(file, &c, 1);

while(c != '\0')

{

cout<<c;

_read(file, &c, 1);

}

cout<<endl;

}

 

cout<<endl;

system("pause");

return 0;

}

wwl33695
关注
3601lpk.dll劫持病毒分析
ZK_1874的博客
10-28 2011
3601lpk.dll劫持病毒分析
深入解析DLL逆向分析:技术剖析与应用探索
weixin_65409651的博客
11-20 1308
在软件开发和分析领域,DLL(动态链接库)是一种广泛使用的文件格式,它承载着丰富的功能模块和资源。在开发者和安全研究者的视角中,DLL逆向分析(Reverse Engineering of DLL)是一项重要技能,帮助我们深入理解软件的内部逻辑、定位漏洞,甚至开发兼容性补丁。本博客将从DLL的基本概念入手,深入剖析DLL逆向分析的技术原理、方法与实际应用,带您全面了解这项技术的奥秘。根据分析结果,编写伪代码或C语言实现,模拟目标DLL的核心功能。,您可以选择性能卓越的云计算服务,助力您的逆向分析项目。
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4436
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
DLL文件分析
qq_45849275的博客
01-18 1095
一、DLL文件是如何产生的? 许多程序被分割成相对独立的动态代码链接库,放置在系统中就形成了DLL文件 二、DLL文件是什么? DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称
深入探索Dependency Walker:DLL依赖分析工具
weixin_30248619的博客
04-26 1855
随着现代软件开发的进展,出现了许多用于检测程序依赖性的工具。这些工具可以帮助开发人员识别和管理程序中复杂的依赖关系。以下是一些流行且功能强大的依赖性检查工具:: 这是一个广泛使用的依赖性检查工具,它可以遍历PE文件(如EXE、DLL等),显示程序依赖的所有模块。Depends: 一个由Microsoft开发的工具,它可以列出程序运行所需的模块和依赖项。:在Visual Studio的调试和诊断工具中,包含了依赖项分析的功能。NDepend。
DLL查看器:深入理解与分析DLL文件
weixin_42124497的博客
05-23 1398
DLL的依赖关系指的是一个DLL文件在运行时需要调用的其他DLL文件的信息。这种依赖关系可以是显式的,即直接在代码中声明的依赖,也可以是隐式的,比如操作系统或运行时环境提供的依赖。依赖关系的重要性在于,它保证了程序能够在执行时找到所有必要的资源和功能,否则程序可能会崩溃或运行不正常。"depends22_x64"具备以下特点:高度兼容性:专为64位系统设计,支持最新的Windows版本。功能丰富:除了显示DLL的依赖关系和导出函数外,还可以用来分析模块的加载路径和内存地址。
DLL依赖关系分析工具:Depends查看器
weixin_34885746的博客
06-12 1005
Depends是由Microsoft提供的一款免费工具,可以用于检查Windows应用程序依赖的DLL和其他类型文件。它的界面直观,功能丰富,对于软件开发者和系统维护人员来说,是一个不可或缺的辅助工具。在这个案例中,Depends工具展现出了其在软件兼容性检查中的有效性和实用性。它帮助开发者快速识别了依赖问题并提供了相应的建议。然而,需要注意的是,Depends工具并不是万能的。它不能保证找到所有问题,也不能自动修复问题。它只是软件开发过程中用以辅助决策的一个工具。
【PC样本分析】 一次对lpk.dll劫持木马的分析
测试专用
08-18 1588
前言 这是一个比较老的样本了,我是在其他论坛里面找到的这个样本,这里写这个文章是通过从内部来剖析该木马的。如果不对的地方还请各位大神们赐教,不足的地方还希望大家能够给我补充一下。谢谢 dll劫持原理 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程.
从0到1学习恶意样本分析笔记第5篇:Dll动态库基础
qq_37452838的博客
11-26 1073
第五章开始分析DLL动态库的基础内容。DLL(Dynamic-Link Library,动态链接库)是微软Windows操作系统中使用的一种文件格式,它包含了可以由多个程序共享的代码和数据。与静态链接库(如.lib文件)不同,动态链接库在程序运行时动态加载,而不是在编译时就链接到程序中。我们都知道exe文件的格式是可执行程序,而dll是不可执行程序,但是它却和exe有一些异曲同工之妙,同样可以用一些分析工具来进行分析,本章将用IDA pro、DIE等工具来简要分析动态库是如何通过exe执行程序来运行的。
解析WINDOWS中的DLL文件---经典DLL解读
s_156的博客
04-22 4849
在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库。现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧!    初窥门径:Windows的基石   随便打开一个系统目录,一眼望去就能看到很多扩展名DLL的文件,这些就是经常说的“动态链接库”,DLL是Dynamic Link Library(即“动态链接库”)的缩写。从Microsoft公司推出首个版本的Windows以来,动态链接库就一直是这个操作系统的基础。   1...
Dll分析工具.rar
08-14
标题“Dll分析工具.rar”指的是一个包含用于分析DLL(动态链接库)文件的工具的压缩包。DLL是Windows操作系统中的一个重要组成部分,它允许多个程序共享同一段代码和数据,从而节省内存并简化软件开发。这个压缩包...
DLL分析工具
10-08
DLL分析工具是用来检查、管理和解决与DLL相关问题的实用程序,对于开发者和系统管理员来说非常有价值。本文将详细介绍DLL分析工具及其在IT领域的应用。 DLL分析工具的主要功能包括: 1. **DLL文件信息查看**:这类...
dll分析器Dependencies
06-05
Dll分析器,通常被称为Dependencies,是一款强大的工具,用于检查和分析动态链接库(DLL)文件。这个工具替代了传统的微软工具Dumpbin,提供了更直观、更全面的功能,帮助开发者和系统管理员理解DLL文件中包含的函数...
dll分析工具symview
11-01
**DLL分析工具Symview详解** DLL(Dynamic Link Library)是Windows操作系统中的一种共享库机制,它包含可由多个执行程序同时使用的代码和数据。Symview是一款专业的DLL分析工具,特别适用于开发者和系统管理员,...
C# dll 分析工具
08-28
C# dll 分析工具, 32位和64位,不错的版本,自己试了可用
根据虹软实现的 人脸检测、追踪、识别、年龄检测、性别检测 的JAVA解决方案
09-11
打开下面链接,直接免费下载资源: https://renmaiwang.cn/s/vxfyv (最新版、最全版本)根据虹软实现的 人脸检测、追踪、识别、年龄检测、性别检测 的JAVA解决方案
matlab YALMIP、GLPK安装资源
最新发布
09-11
matlab的YALMIP、GLPK安装包,内置YALMIP、GLPK,直接将分别其添加到matlab的toolbox、路径中即可(matlab主页-设置路径-添加并包含子文件夹-YALMIP;matlab主页-设置路径-添加文件夹-github_repo)
【scratch3.0少儿编程-游戏原型-动画-项目源码】打砖块.zip
09-11
资源说明: 1:本资料仅用作交流学习参考,请切勿用于商业用途。 2:一套精品实用scratch3.0少儿编程游戏、动画源码资源,无论是入门练手还是项目复用都超实用,省去重复开发时间,让开发少走弯路! 更多精品资源请访问 https://blog.youkuaiyun.com/ashyyyy/article/details/146464041
使用 OpenCV 技术实现人脸检测的方法与过程
09-11
打开下面链接,直接免费下载资源: https://renmaiwang.cn/s/o7o7f 运用 OpenCV 这一计算机视觉库来开展人脸检测相关的操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值