PE格式第六讲,导出表
PE格式第六讲,导出表
请注意,下方字数比较多,其实结构挺简单,但是你如果把博客内容弄明白了,对你受益匪浅,千万不要看到字数多就懵了,其实字数多代表它重要.特别是第五步,
各种表中之间的关系.
作者:IBinary
出处:http://www.cnblogs.com/iBinary/
版权所有,欢迎保留原文链接进行转载:)
一丶浅谈导入表
首先,导出表我们已经学过了,作用就是在程序加载的时候,把自己要调用的API的地址,不断地填写到IAT表中
不过我们要知道三个概念,
1.程序运行的时候,导入表直接把调用的API地址填写到IAT表格中
2.程序运行的时候,用到那个API,才会填写到IAT表中(延时加载技术,下面讲解)
3.程序还没运行的时候,在PE中函数的地址就已经写死了.
何为延时加载
我们知道,如果你写的API有几万个,那么一开始就填写到IAT表格中,那么你的程序会很慢.
那么就会使用延时加载表(也是数据目录中的)那么用到那个,才填写.
可以查看结构体(数据目录的结构体)下面可以找到这个表格.这个就是延时加载表
二丶何为导出表?
导出表,作用就是我们写的DLL或者EXE导出的函数,那么会记载这些函数.作用就是这个
那么是你自己设计导出表,你要怎么设计.
按照我的思路:
1.我会设计一个 入口地址表(RVA存贮,用来计算模块 + 入口地址的RVA等于函数地址)
2.我还会设计一个 保存函数名字的表
3.我还会设计一个,保存序号的表
大体就怎么多.
因为你想,我们如果要保存一个导出函数,并且还有调用它,是不是需要保存函数名字,但是因为导出的时候还要有序号导出,那么是不是要保存序号,不光保存序号,我们是不是还要通过一定手段让模块地址+偏移寻到函数位置.
表格设计大体流程
EntryPoint 里面保存RVA(入口地址表)
order 序号表格保存序号的
FunctionName 函数名称表
当然,函数导出的时候可能还会有记录个数的
那么看下具体的结构体是怎么样子的吧.
不出意外就会和我们的表设计的差不多.
typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics; //标志,未用
DWORD TimeDateStamp; //时间
WORD MajorVersion; //主版本
WORD MinorVersion; //副版本
DWORD Name; //指向导出表文件名的字符串
DWORD Base; //导出函数的起始序号
DWORD NumberOfFunctions; //所有导出函数的个数
DWORD NumberOfNames; //以函数名导出的函数个数
DWORD AddressOfFunctions; // 导出函数地址表RVA(入口地址)
DWORD AddressOfNames; // 函数名称地址表RVA(名称表)
DWORD AddressOfNameOrdinals; // 函数序号地址表(序号表)
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
可以看出,确实是差不多的.
那么看下这里的重要成员
1.执行导出表文件名的字符串
2.base 导出函数的起始序号
3.导出函数地址表RVA
4.函数名称地址表RVA
5.函数序号地址表
这里我们随便找个DLL,使用010模版,看下结构到底怎么存储的(先要定位)
三丶定位导出表
1.找出导出表RVA偏移
首先,我们要在数据目录里面查看DLL的第一项,也就是导出表的地址的RVA偏移是多少.
可以看出,是4820的RVA偏移,大小是84个字节
2.判断属于哪一个节
既然知道是4820了,那么节中的虚拟地址肯定是40开头的.小于50的 因为4820 > 40开头, < 50开头
首先第一个节.text
4096代表了1000h,肯定不是,相差太远.
第二个节.radata
是40开头的,那么就是了
3.算出FOA位置
既然知道是.radata节中的,那么直接算出FOA(简称FA)的位置即可
RVA = 4820
FA = RVA - 节虚拟地址(上面找的4000h) + 上面找的节的文件偏移大小
文件偏移截图:
公式代入得到:
FA = 4820 - 4000 + 4000
FA = 4820
通过计算,我们发现还是4820的位置,为什么这么巧?
原因是虚拟地址和文件偏移位置存储都是一样的.所以记录的RVA则是在文件中的位置.
4.通过FA找到导出表位置
我们得到FA是4820,那么我们使用010 Editer中的ctrl + G的功能,快速定位位置.
我们选中了84个字节,那么这84个字节则是导出表的大小了,在数据目录中有记录导出表的大小,所以直接定位即可.
四丶导出表的存储方式
1.第一部分讲解
截图一下截取太多,不好讲解,这里截取一部分,下面接着截取4840下面的
首先,黑色方块中的无用不重要,所以不讲解.
红色方块第一个: 成员NAME 这个是一个RVA的偏移,指向了DLL的名称,可以的同学,可以看下4860(因为RVA是4860,但是虚拟地址和文件偏移是一样的,所以现在的情况是FA = RVA,不用转换了)的位置,是不是DLL的名称,以0结尾
红色方块第二个,base成员,起始的导出序号,这个很重要,一会讲解
红色方块第三个,这个我直接把两个4字节弄在一起来,要分开来看, 第一个四个字节,3,表示了所有导出函数是3个(函数名字,或者序号导出都计算)
第二个四个字节: 显示2,表示了按照名字导出的函数有两个.
红色方块第四个: 这个重要了.存放的是函数的地址表.
如果会看FA位置的同学请看. 存放的00001000 第一个函数地址偏移 第二个函数地址偏移 00001020 第三个函数地址偏移00001040
为什么存放的是函数地址偏移,因为这个是个DLL,加载到程序的时候,DLL模块不固定,所以比如存放偏移
这样就可以通过 ImageBase + 偏移,定位导出函数的地址了.
所以现在大家应该知道为什么GetprocAddress(模块,函数名)为什么要给模块了吗? 就是要通过模块+偏移的位置定位导出函数地址调用
2.第二部分讲解
首先,讲解第二部分之前,我们要把第一部分的存储信息截图下来,方便对照查看.
第二部分截图:
可以看出,我画了4个颜色的方框
看法: 黄色对应着橘黄色
深红色,对应着绿色
首先黄色方块: 代表的函数名称的表,指向函数名称的字符串位置 RVA,通过转化(FA = RVA)得出4854的位置是指向字符串的位置.
那么就会指导橘黄色的开头位置了,也就是4854的位置,但是注意一下,因为导出的函数,函数名字是不固定的,那么其实函数名称表执行的这个区域还是一个偏移.
而这个偏移,才真正的指向了函数名称的字符串(注意,0结尾)可边长的.
那么486A的位置就是 导出函数的名称了. 也就是fun1
橘黄色有两个4字节,第一个RVA偏移,是指向了fun1的函数名字,那么第二个就是指向了fun2的名字,那么由此可以得出,按照名字导出,我们总共得到了两个字符串.(fun1,和fun2)
深红色位置:
深红色位置指向了一个偏移,这个偏移也就是绿色方框的开头,分为2个字节2个字节
那么绿色是2个2个字节.
这个深红色位置,就是序号表的RVA偏移,我们知道DLL导出可以是序号导出,那么这个地方就是存储的是序号.
导出函数的时候,默认不写序号,则对应的是从0开始,0 1 2 3顺序排列,这里导出了2个函数,那么对应就有两个序号,分别是0和1
通过上面讲解,基本了解了导出表的存储格式,但是下面的讲解,才会真正的重要.
五丶BASE成员,导出序号,函数导出,以及函数地址表之间的关系
1.函数名称,序号表,以及和函数地址表中的关系
首先我们要知道,DLL的导出函数可以按照序号导出,也可以按照函数名字导出,但是怎么和函数地址表关联起来那?
首先,我们先看不按照序号导出,按照函数名字来获取函数的地址(函数地址表中)
上面我们分析过了
我们会需要函数名字,入口地址,以及序号,而下面的结构体也正好应验了.
那么重新写一下
EntryPoint (可以理解为函数地址表,存放的是导出函数的地址)
那么刚才我们看了,有三个
00001000 fun1的偏移
00001020 fun2的偏移
00001040 fun3的偏移,只不过没有名字
Order 序号表格
0 fun1的默认序号
1 fun2的默认序号
FunctionName (函数名称表格)
fun1
fun2
首先关系是这样的,我们通过fun1的字符串,去查找序号表,通过序号表则找到偏移了.
比如我们要加载 fun1,那么fun1的序号表中默认是0位置,所以找到的序号0了,也就是第一项(注意,序号表可以理解为Switch(序号))然后0位置存放的就是函数地址表,也就是000010000
那么就得出了fun1的RVA偏移了
那么现在知道一个完整的GetprocAddress(模块,函数名)是怎么运行的了吧
首先,模块肯定是要知道的,
函数名字给了,那么去序号表中看是第几项,找到序号表中的对应第几项,那么就去函数地址表中寻得第几项,那么正好就得出偏移了
那么现在模块 + 偏移,正好找出导出函数 fun1的地址了.
2.Base,序号表之间的关系
首先我们重新编译下DLL,这次是按照序号导出
可以看出,我们默认指定的fun1的序号是1,fun2是2,fun3是3
那么为什么序号表中是0 1 2 那?
原因是这样的
1.如果我们通过函数名字查找,比如找fun1,那么序号就是0,也就是第一项,那么通过0就可以找到fun1的偏移了
2.如果我们通过序号查找,比如我们输入3,我们要调用fun3了,那么这个时候,序号表中根本就没有3,怎么办?
此时Base成员的作用就来了,它默认是1,那么我们输入3序号的时候,会减去base的值,得出的下标,再去序号表中查找.
那么3 - 1 = 2,2当做下标去序号表中查找,找到了第三项,也就是02了,通过02找fun3的偏移,也是对的.
所以现在是由两种方式,
第一种就是名字导入,fun1默认不加序号就是从0开始的,去序号表中查0就能找到偏移.
第二种就是专门按照序号导入的,那么此时你输入的序号-base才真正的是函数的偏移了.
作者:IBinary
出处:http://www.cnblogs.com/iBinary/
版权所有,欢迎保留原文链接进行转载:)
PE格式第六讲,导出表的更多相关文章
- PE格式第七讲,重定位表
PE格式第七讲,重定位表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶何为重定位(注意,不是重定位表格) 首先, ...
- PE格式第四讲,数据目录表之导入表,以及IAT表
PE格式第四讲,数据目录表之导入表,以及IAT表 一丶IAT(地址表) 首先我们思考一个问题,程序加载的时候会调用API,比如我们以前写的标准PE 那么他到底是怎么去调用的? 他会Call 下边的Jm ...
- PE格式第八讲,TLS表(线程局部存储)
PE格式第八讲,TLS表(线程局部存储) 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶复习线程相关知识 首先讲解 ...
- PE格式第九讲,资源表解析
PE格式第九讲,资源表解析 一丶熟悉Windows管理文件的方法 首先,为什么标题是这个,主要是为了下边讲解资源方便,因为资源结构体很乱.如果直接拿出来讲解,那么就会很晕. 1.windows管理文件 ...
- WinHex分析PE格式(1)
最近在一直努力学习破解,但是发现我的基础太差了,就想学习一下PE结构.可是PE结构里的结构关系太复杂,看这老罗的WiN32汇编最后一章 翻两页又合上了..把自己的信心都搞没了.感觉自己的理解能力不行, ...
- 32位汇编第六讲,OllyDbg逆向植物大战僵尸,快速定位阳光基址
32位汇编第六讲,OllyDbg逆向植物大战僵尸,快速定位阳光基址 一丶基址,随机基址的理解 首先,全局变量的地址,我们都知道是固定的,是在PE文件中有保存的 但是高版本有了随机基址,那么要怎么解决这 ...
- Linux基础知识第六讲,远程管理ssh操作
目录 Linux基础知识第六讲,远程管理ssh操作 一丶什么是SSH 1.什么是SSH 2.了解域名跟端口 二丶SSH命令以及远程连接linux进行维护 1.ssh命令格式 2.scp远程终端拷贝文件 ...
- 内核知识第六讲,内核编写规范,以及获取GDT表
内核知识第六讲,内核编写规范,以及获取GDT表 一丶内核驱动编写规范 我们都知道,在ring3下,如果我们的程序出错了.那么就崩溃了.但是在ring0下,只要我们的程序崩溃了.那么直接就蓝屏了. 那么 ...
- 基础篇-初步认识PE格式
1 PE(Portable Executable)格式,是Win32环境可移植可执行文件(如exe.dll.vxd.sys和vdm等)的标准文件格式.PE格式衍生于早期建立在VAX(R)VMS(R)上 ...
随机推荐
- [2017BUAA软工助教]评论汇总
一 邹欣 周筠 飞龙 二 学校 课程 教师 助教1 助教2 助教3 福州 软件工程1715K 柯逍 谢涛 软件工程1715Z 张栋 刘乾 汪培侨 软件工程1715W 汪璟玢 曾逸群 卞倩虹 李娟 集美 ...
- 201521123049 《JAVA程序设计》 第8周学习总结
1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结集合与泛型相关内容. 2. 书面作业 本次作业题集集合 1.List中指定元素的删除(题目4-1) 1.1 实验总结 public ...
- 201521123019 《Java程序设计》第3周学习总结
1. 本周学习总结 2. 书面作业 (1)代码阅读 public class Test1 { private int i = 1;//这行不能修改 private static int j = 2; ...
- 《JAVA程序设计》第11周学习总结
1. 本章学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结多线程相关内容. synchronized方法/代码块 wait().notify()用法,生产者消费者例子 lock.condit ...
- 201521123114《Java程序设计》第9周学习总结
1. 本章学习总结 2. 书面作业 Q1. 常用异常 题目5-1 1.1 截图你的提交结果(出现学号) 1.2 自己以前编写的代码中经常出现什么异常.需要捕获吗(为什么)?应如何避免? 经常出现的异常 ...
- 201521123122 《java程序设计》第九周学习总结
201521123122 <java程序设计>第九周实验总结 1. 本周学习总结 以你喜欢的方式(思维导图或其他)归纳总结集合相关内容. 2. 书面作业 常用异常 题目5-1 1.1 截图 ...
- 控制结构(2) 卫语句(guard clause)
// 上一篇:分枝/叶子(branch/leaf) // 下一篇:状态机(state machine) 基于语言提供的基本控制结构,更好地组织和表达程序,需要良好的控制结构. 典型代码: 同步版本 f ...
- 关于centOS 7的服务启动,端口查询,防火墙管理
端口的查询与开启 CentOS 7 默认没有使用iptables,所以通过编辑iptables的配置文件来开启80端口是不可以的CentOS 7 采用了 firewalld 防火墙 如要查询是否开启8 ...
- 《JavaScript闯关记》视频版硬广
<JavaScript闯关记>视频版硬广 stone 在菜航工作时,兼任内部培训讲师,主要负责 JavaScript 基础培训,2016年整理的<JavaScript闯关记>课 ...
- html tip实现
一.介绍before/after CSS中的before和after伪类选择器早在CSS2时就被引入,改属性被所有主流浏览器所支持了.before和after顾名思义,分别指的是伪元素在元素前/后添加 ...