2020欧洲杯官方投注-2020欧洲杯官方投注网址[PE结构深入分析] 9.导出表 IMAGE_EXPORT_DIRECTOSportageY

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;    // 未使用,总为0 

    DWORD   TimeDateStamp;      // 文件创建时间戳
    WORD    MajorVersion;       // 未使用,总为0 

    WORD    MinorVersion;       // 未使用,总为0
    DWORD   Name;               // 指向一个代表此 DLL名字的 ASCII字符串的 RVA
    DWORD   Base;               // 函数的起始序号
    DWORD   NumberOfFunctions;  // 导出函数的总数

    DWORD   NumberOfNames;      // 以名称方式导出的函数的总数

    DWORD   AddressOfFunctions;     // 指向输出函数地址的RVA
    DWORD   AddressOfNames;         // 指向输出函数名字的RVA
    DWORD   AddressOfNameOrdinals;  // 指向输出函数序号的RVA

} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

AddressOfFunctions 所指向内容是以 4 字节为八个单位的数组元素,每种成分代表函数入口

AddressOfNames 所指向内容是以 4 字节为二个单位的数组成分,各类成分代表二个针对字符串的 EvoqueVA

AddressOfNamesOrdinals 所指向内容是以 2 字节为三个单位的数组成分,每种成分代表对应名字在 AddressOfFunctions 中的序号数。

AddressOfNames 和 AddressOfNamesOrdinals 的数额料定是同一的,不是同一那么就出错了。

至关重大要调控二种检索函数入口地址的办法:

2020欧洲杯官方投注-2020欧洲杯官方投注网址,A. 从序号查找函数入口地址

  1. 定位到PE 文件头
  2. 从PE 文件头中的 IMAGE_OPTIONAL_HEADEQX5632 结构中抽出数据目录表,并从第一个数据目录中获得导出表的福睿斯VA
  3. 从导出表的 Base 字段得到开头序号
    4. 将需求探索的导出序号减去初阶序号Base,获得函数在入口地址表中的索引,检查评定索引值是或不是高于导出表的 NumberOfFunctions 字段的值,如若超越前者的话,表达输入的序号是没用的
  4. 用那一个索引值在 AddressOfFunctions 字段指向的导出函数入口地址表中抽取相应的门类,这正是函数入口地址的昂科拉VA 值,当函数棉被服装入内存的时候,这一个GL450VA 值加上模块实际装入的基地址,就拿走了函数真正的进口地址

B. 从函数名称查找入口地址

自个儿想通的地点,记录下来:用函数名来寻找的话,Base 的值未来并未有其他意义

  1. 率先取得导出表的地方
  2. 从导出表的 NumberOfNames 字段获得已命名函数的总量,并以这么些数字作为循环的次数来协会贰个生生不息,从 AddressOfNames 字段指向得到的函数名称地址表的第一项开端,在循环团长各种定义的函数名与要探求的函数名相相比较,若无其他八个函数名是切合的,表示文件中从未点名名称的函数。
    3. 若是某一项定义的函数名与要探索的函数名适合,那么记下那几个函数名在字符串地址表中的索引值,然后在AddressOfNamesOrdinals 指向的数组中以同样的索引值抽取数组项的值,我们这边要是这些值是 x
  3. 最终,以 x 的值作为索引值在 AddressOfFunctions  字段指向的函数入口地址表中赢得 奥迪Q3VA 。此 陆风X8VA 就是函数的进口地址。

依靠图片:

2020欧洲杯官方投注-2020欧洲杯官方投注网址 1

本文由2020欧洲杯官方投注-2020欧洲杯官方投注网址发布于win7,转载请注明出处:2020欧洲杯官方投注-2020欧洲杯官方投注网址[PE结构深入分析] 9.导出表 IMAGE_EXPORT_DIRECTOSportageY

相关阅读