PE文件结构(四) 输出表
2015-07-30 20:30
120 查看
PE文件结构(四)
參考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
一般来说输出表存在于dll中。输出表提供了 文件里函数的名字跟这些函数的地址, PE装载器通过输出表来改动IAT。
IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 開始的。
IMAGE_EXPORT_DIRECTORY结构:
输出表主要就是来给PE载入器改动IAT的,即查找函数的入口地址。PE载入器查找函数的地址有两种方法,从序号查找,从函数名查找。
1. 从序号查找函数入口地址
PE载入器通过INT知道了序号。直接用这个序号 去找 函数地址数组EAT就能够了。
2. 从函数名查找函数入口地址
通过函数名,查找函数名数组ENT,找到这个函数名在数组中的序号 n(从0数起),然后取输出序列号数组的第n个值(从0数起)。
然后 以这个值为序号的的函数地址数组EAT的值就是这个函数的入口地址。
即 ENT[ 输出序列号数组
]
实例分析:
比如找user32.dll 中AdjustWindowRect 这个函数。
先查看user32.dll的二进制文件。它的IMAGE_OPTIONAL_HEADER结构为:
图片1
从中能够知道:
Name: RVA 55C0h 文件偏移值:49C0h
Base: 1
NumberOfFunctions: 02DCh
NumberOfNmae:02DCh
AddressOfFunctions: RVA 3928h 文件偏移值:2D28h
AddressOfNames: RVA 4498h 文件偏移值:3898h
AddressOfNameOrdinals: RVA 5008h 文件偏移值:4408h
查看ENT数组所指向的字符串。能够知道AdjustWindowRect是第2个元素。
所以。查看AddressOfNameOrdinals所指向的输出序列号数组的第2个元素,能够发现值为 1。
图片2
再查看EAT中序号为1的元素(即第2个元素)值为021140h,这个就是AdjustWindowRect函数的RVA。
图片3
參考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
输出表
一般来说输出表存在于dll中。输出表提供了 文件里函数的名字跟这些函数的地址, PE装载器通过输出表来改动IAT。
IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 開始的。
IMAGE_EXPORT_DIRECTORY结构:
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; //未使用 DWORD TimeDateStamp; //文件生成的时间 WORD MajorVersion; //主版本。一般为0 WORD MinorVersion; //次版本,一般为0 DWORD Name; //指向dll名的RVA DWORD Base; // 基数,一般为 1 (就是从1数起) DWORD NumberOfFunctions; // AddressOfFunctions指向的数组的元素的个数 DWORD NumberOfNames; // AddressOfNames 指向的数组的元素的个数 DWORD AddressOfFunctions; // 函数地址数组ENT的RVA DWORD AddressOfNames; // 函数名字数组EAT的RVA DWORD AddressOfNameOrdinals; // 输出序列号数组的RVA,这个数组是以WORD为单位的,用来函数名字数组连接函数地址数组的 } IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
输出表主要就是来给PE载入器改动IAT的,即查找函数的入口地址。PE载入器查找函数的地址有两种方法,从序号查找,从函数名查找。
1. 从序号查找函数入口地址
PE载入器通过INT知道了序号。直接用这个序号 去找 函数地址数组EAT就能够了。
2. 从函数名查找函数入口地址
通过函数名,查找函数名数组ENT,找到这个函数名在数组中的序号 n(从0数起),然后取输出序列号数组的第n个值(从0数起)。
然后 以这个值为序号的的函数地址数组EAT的值就是这个函数的入口地址。
即 ENT[ 输出序列号数组
]
实例分析:
比如找user32.dll 中AdjustWindowRect 这个函数。
先查看user32.dll的二进制文件。它的IMAGE_OPTIONAL_HEADER结构为:
图片1
从中能够知道:
Name: RVA 55C0h 文件偏移值:49C0h
Base: 1
NumberOfFunctions: 02DCh
NumberOfNmae:02DCh
AddressOfFunctions: RVA 3928h 文件偏移值:2D28h
AddressOfNames: RVA 4498h 文件偏移值:3898h
AddressOfNameOrdinals: RVA 5008h 文件偏移值:4408h
查看ENT数组所指向的字符串。能够知道AdjustWindowRect是第2个元素。
所以。查看AddressOfNameOrdinals所指向的输出序列号数组的第2个元素,能够发现值为 1。
图片2
再查看EAT中序号为1的元素(即第2个元素)值为021140h,这个就是AdjustWindowRect函数的RVA。
图片3
相关文章推荐
- (大数据工程师学习路径)第一步 Linux 基础入门----用户及文件权限管理
- 从零开始搭建SpringMVC框架以及最简单的 Hello World 实例
- 数字图像学习0
- Spring IoC Container and Spring Bean Example Tutorial
- hdu5328 Problem Killer
- 09-散列3. Hashing - Hard Version (30)
- 上传图片方向角度问题
- 流程控制值switch选择结构
- hdu5319 简单模拟
- 10款很好用的 jQuery 图片滚动插件
- RHEL二十(管理SELINUX的安全性)
- HDU 5317
- Robot Motion(POJ--1573
- mysql 生成流水号每天更新从0开始
- 【HDU2126】【Buy the souvenirs】
- 杭电2199Can you solve this equation?(初试二分法)
- 课后作业
- 从百度文库下载的文档无法打开解决办法
- [BZOJ3673]可持久化并查集
- Python函数大全