做类似返利网的网站有哪些九江市seo
导出表
什么是导出表?
导出表是PE文件中记录动态链接库(DLL)对外提供的函数或数据的列表,包含函数名称、序号和内存地址等信息,供其他程序调用
我们写一个dll来查看一下导出函数
int exportFunc1(int a, int b) {return a + b;
}char exportFunc2(char a, char b) {return 'c';
}BOOL APIENTRY DllMain( HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved)
{switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:case DLL_THREAD_ATTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;}return TRUE;
}
可以使用IDA等工具查询dll,sys,exe的导出函数
可以看到在IDA中已经成功的给我们查找出了当前dll的导出函数
如何自通过二进制文本工具查找对应的导入表呢?
首先先回忆一下之前pe的内容
1.DOS头,DOS块
2.NT头,标准pe头,扩展pe头
在扩展pe头的最后一个属性中,就存放着对应的16张表 ( IMAGE_DATA_DIRECTORY )
typedef struct _IMAGE_OPTIONAL_HEADER64 {WORD Magic;BYTE MajorLinkerVersion;BYTE MinorLinkerVersion;DWORD SizeOfCode;DWORD SizeOfInitializedData;DWORD SizeOfUninitializedData;DWORD AddressOfEntryPoint;DWORD BaseOfCode;ULONGLONG ImageBase;DWORD SectionAlignment;DWORD FileAlignment;WORD MajorOperatingSystemVersion;WORD MinorOperatingSystemVersion;WORD MajorImageVersion;WORD MinorImageVersion;WORD MajorSubsystemVersion;WORD MinorSubsystemVersion;DWORD Win32VersionValue;DWORD SizeOfImage;DWORD SizeOfHeaders;DWORD CheckSum;WORD Subsystem;WORD DllCharacteristics;ULONGLONG SizeOfStackReserve;ULONGLONG SizeOfStackCommit;ULONGLONG SizeOfHeapReserve;ULONGLONG SizeOfHeapCommit;DWORD LoaderFlags;DWORD NumberOfRvaAndSizes;IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // 这个结构体数组中就存放着对应16张表的位置和大小
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;
第一个结构体数组就存放的是导出表的位置和大小
导出表的结构体
typedef struct _IMAGE_EXPORT_DIRECTORY {DWORD Characteristics;DWORD TimeDateStamp;WORD MajorVersion;WORD MinorVersion;DWORD Name; // DLL名称的RVADWORD Base; // 导出函数序号的起始值DWORD NumberOfFunctions; // 实际导出的函数数量DWORD NumberOfNames; // 按名称导出的函数数量DWORD AddressOfFunctions; // 函数地址数组的RVADWORD AddressOfNames; // 函数名称数组的RVADWORD AddressOfNameOrdinals; // 函数序号数组的RVA
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
首先,确认导出表的位置,由于扩展pe头的后面紧跟着的是节表,一个 IMAGE_DATA_DIRECTORY 结构体的大小是8个字节,所以从节表开始的地方向后数128个字节就是导出表开始的位置
IMAGE_NUMBEROF_DIRECTORY_ENTRIES 结构体中有两个属性
typedef struct _IMAGE_DATA_DIRECTORY {DWORD VirtualAddress; // 表的虚拟位置DWORD Size; // 表的大小(不一定正确)
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
由此可知我们导出表的地址为:0x1B8D0
但是光知道了位置还是不够,这个位置是相对虚拟位置,我们需要把它(RVA)转为FOA(如果内存对齐和文件对齐一至则不用转换)
转换方法和公式之前有讲过
由于我们程序的内存对齐和文件对齐不一致
所以 0x1B8D0 - imageBase 看地址落在在那个节的范围中,然后用0x1B8D0 - 节的起始地址 = 节到当前地址的偏移,最后再通过节表中的PointerToRawData属性 + 偏移求出在文件中的位置
经计算求得导出表在文件中的位置为:0xA8D0
IMAGE_EXPORT_DIRECTORY 导出表结构体当中第五个属性DWORD Name存放的是导出文件的名称,以及导出的方法名(这里的地址也是一个虚拟地址)
后面重点说一下导出表中的这三个子表属性
DWORD AddressOfFunctions; // 函数地址数组的RVADWORD AddressOfNames; // 函数名称数组的RVADWORD AddressOfNameOrdinals; // 函数序号数组的RVA
AddressOfFunctions的值为(RVA):0x1B8F8->FOA = 0xA8F8
AddressOfNames的值为(RVA):0x1B900->FOA = 0xA900
AddressOfNameOrdinals(RVA):0x1B908->FOA = 0xA908
AddressOfFunctions
通过NumberOfFunctions属性我们可以得知所有的导出函数个数有两个,函数地址是从0xA8F8地址开始,一个地址占4个字节
按小端序来排列就是 0x110C3 , 0x11069 这两个地址(RVA地址)
通过RVA->FOA后才是真实的方法地址
AddressOfNames
接下来我们看一下导出方法的名称
首先我们看下NumberOfNames这个属性的值,这个值表示有多少个方法是已方法名称导出的(我这里是2表示两个方法都是通过名称导出)
AddressOfNames在文件中的地址为:0xA900,有两个方法都是通过名称导出
我们就可以知道两个方法名称的地址为:0x1B922,0x1B916 (RVA)
转为在文件中的地址就可以知道两个导出方法的名称了
AddressOfNameOrdinals
序号表的个数和按文件导出的个数是一样的
AddressOfNameOrdinals在文件中的地址为:0xA908 (序号表每个为2个字节)
我们就知道两个值为:0x1,0x00 (1,0)
函数表是用来通过函数方法名的下标(在第几个方法),再查询序号表,最后再通过序号表中的值去函数地址表通过下标查询 (有点抽象 - 。- )
| 函数地址表 | 序号表 | 函数名称表 |
|---|---|---|
| 0x4C3 | 0x00 | exportFunc1 |
| 0x469 | 0x01 | exportFunc2 |
比如我想找 exportFunc1 这个方法的地址,首先这个方法在函数名称表中下标为0,然后再到序
号表中查下标为0的值,查询的值为0,最后再到函数地址表查下标为0的值 (0x4C3),最后查
询到我们要找的函数
Base
base导出函数序号的起始值,在没有通过函数名导出的情况下,还可以通过序号来进行查找,我这个程序的base值为1,就表示函数地址表的下标从1开始找依次递增,最终通过序号来查询出我们的函数地址
注:这里给出的导出函数方式是最简单的,还有几种比较特殊的情况,比如导出函数没有导出方法,导出函数序号不按递增序列增加时