PE文件结构(四) 输出表

PE文件结构(四) 输出表

大家好,又见面了,我是全栈君,今天给大家准备了Idea注册码。

PE文件结构(四)

參考

书:《加密与解密》

视频:小甲鱼 解密系列 视频

输出表

一般来说输出表存在于dll中。输出表提供了 文件里函数的名字跟这些函数的地址, PE装载器通过输出表来改动IAT。

IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 開始的。

IMAGE_EXPORT_DIRECTORY结构:

typedef struct _IMAGE_EXPORT_DIRECTORY {    DWORD   Characteristics;         //未使用    DWORD   TimeDateStamp;           //文件生成的时间    WORD    MajorVersion;            //主版本。一般为0    WORD    MinorVersion;            //次版本,一般为0    DWORD   Name;                    //指向dll名的RVA    DWORD   Base;                    // 基数,一般为 1 (就是从1数起)    DWORD   NumberOfFunctions;       // AddressOfFunctions指向的数组的元素的个数    DWORD   NumberOfNames;           // AddressOfNames 指向的数组的元素的个数    DWORD   AddressOfFunctions;     // 函数地址数组ENT的RVA    DWORD   AddressOfNames;         // 函数名字数组EAT的RVA     DWORD   AddressOfNameOrdinals;  // 输出序列号数组的RVA,这个数组是以WORD为单位的,用来函数名字数组连接函数地址数组的} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

输出表主要就是来给PE载入器改动IAT的,即查找函数的入口地址。PE载入器查找函数的地址有两种方法,从序号查找,从函数名查找。

1. 从序号查找函数入口地址

    PE载入器通过INT知道了序号。直接用这个序号 去找 函数地址数组EAT就能够了。

2. 从函数名查找函数入口地址

    通过函数名,查找函数名数组ENT,找到这个函数名在数组中的序号 n(从0数起),然后取输出序列号数组的第n个值(从0数起)。

然后 以这个值为序号的的函数地址数组EAT的值就是这个函数的入口地址。

即 ENT[  输出序列号数组[n]  ] 

实例分析:

比如找user32.dll 中AdjustWindowRect 这个函数。

先查看user32.dll的二进制文件。它的IMAGE_OPTIONAL_HEADER结构为:

图片1

PE文件结构(四) 输出表

从中能够知道:

Name: RVA 55C0h          文件偏移值:49C0h  
Base: 1
NumberOfFunctions: 02DCh  
NumberOfNmae:02DCh
AddressOfFunctions:  RVA 3928h         文件偏移值:2D28h
AddressOfNames:  RVA 4498h             文件偏移值:3898h
AddressOfNameOrdinals: RVA 5008h        文件偏移值:4408h

查看ENT数组所指向的字符串。能够知道AdjustWindowRect是第2个元素。

所以。查看AddressOfNameOrdinals所指向的输出序列号数组的第2个元素,能够发现值为 1。

图片2

PE文件结构(四) 输出表

再查看EAT中序号为1的元素(即第2个元素)值为021140h,这个就是AdjustWindowRect函数的RVA。

图片3

PE文件结构(四) 输出表

版权声明:本文博客原创文章,博客,未经同意,不得转载。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/117367.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 什么是java 前端_为什么很多人选择前端而不选择 Java?

    什么是java 前端_为什么很多人选择前端而不选择 Java?互联网常见的九种职业,和游戏中的角色一样,不同的职业都有不同的特点。前端和后端,不同的人感受完全不一样。从性别上来说,妹子更适合前端,汉子可能会更偏爱后端,但影响不是特别大,其中一个原因就在于是,后端做的事情,看不见,摸不着,需要有比较强的抽象思维能力。那什么是抽像思维能力呢?如果你会下象棋的话,我马二进四,你炮八进三,我马四退五,你象三进五,能不能在脑袋里想象出来是什么样子?如果不会下象期的话,…

  • php面试题目100及最佳答案_社区工作者面试题目

    php面试题目100及最佳答案_社区工作者面试题目Php面试100题汇总1,Http和Https的区别第一:http是超文本传输协议,信息是明文传输,https是具有安全性的ssl加密传输协议第二:http和https使用的是完全不同的连接方式,端口也不一样,前者80或者443第三:http连接很简单,是无状态的。https协议是由ssl+http协议构建的可进行加密传输,身份认证的网络协议。2.什么方法来加快页面的加载速度1,用到服务器资源

  • request对象常用方法总结

    request对象常用方法总结JSP内置对象:request对象  客户端的请求信息被封装在request对象中,通过它才能了解到客户的需求,然后做出响应。它是HttpServletRequest类的实例。request对象具有请求域,即完成客户端的请求之前,该对象一直有效。常用方法如下:常用方法方法介绍StringgetParameter(Stringname)返回name指定参数的参数值Str

  • Windows 2016 服务器安全配置和加固「建议收藏」

    Windows 2016 服务器安全配置和加固「建议收藏」最近一个项目需要使用Windows服务器,选择安装了最新版的Windows2016,上一次使用Windows服务器还是Windows2008系统,发现变化还是挺多的,依次记录下来以备后面查阅。更换Windows更新服务器如果你觉得默认的Windows更新服务器比较慢,或者如果选择了阿里云或腾讯云服务器的话,可以更换Windows服务器。右键开始菜单图标,选择“运行”,然后输入gped…

  • android高德地图获取海拔_高德导航地图能显示海拔高度吗

    android高德地图获取海拔_高德导航地图能显示海拔高度吗现在人们生活水平普遍提高,私家车成为老百姓的常态,选择周末或者节假日来一场自驾游还是非常给力的,很多年轻人都喜欢挑战自己,去西部自驾游,这个就需要知道海拔信息了,那么高德地图能导航出海拔数据吗?高德地图测海拔的具体方法如下:1、第一步打开高德地图的网页,找到并点击下方那行小字。2、点中间的(开放平台)四个字。3、打开高德开发平台界面然后依次点击(开发支持)-(地图工具)-(坐标拾取器)。4、打开界…

  • 更新MacOS BigSur是遇到的常见问题及解决方案

    ​​有新系统更新是当然好,但它也可能会带来一些不兼容问题导致系统出现异常现象。比如:软件打不开,游戏卡顿,机器没声音等等….总是不会遇到这样那样的一些问题!就好比最近大热的Macbigsur亦是如此!如macOSBigSur无法下载安装启动等问题,应用程序、WiFi、蓝牙等无法运行,USB断开连接等等,通常可以直接解决。那么下面我们来探讨关于MacOSBIGSUR最常见的一些问题和解决修护办法!macOSBigSur无法下载如果您在下载BigSur时看到消息,提示“macOSBi

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号