关于PE结构!Eat导出表,求大神指点下

人情恶飞 2014-09-15 04:40:06


第一张图:用CE OD 等工具 定位很准,属于NtDll.dll 的导出表

对应函数:_itoa_s





第二张图:自己写的Eat 遍历

发现很多像_itoa_s函数一样的,定位不准,找了一天相关的资料,都看了写的没错,但是还这样!

下方 源代码







	PIMAGE_DOS_HEADER  Pdos = (PIMAGE_DOS_HEADER)GetModuleHandle("ntdll.dll");//获得模块句柄

	//错误返回



	PIMAGE_NT_HEADERS  Pnt = (PIMAGE_NT_HEADERS)((int)Pdos->e_lfanew + (int)Pdos);

	

	IMAGE_OPTIONAL_HEADER32 Popt = Pnt->OptionalHeader;



	IMAGE_EXPORT_DIRECTORY * Export;

	Export = (IMAGE_EXPORT_DIRECTORY*)(Popt.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress + (ULONG_PTR)Pdos);

	//关于索引

	/*IMAGE_DIRECTORY_ENTRY_EXPORT

		导出表

		IMAGE_DIRECTORY_ENTRY_IMPORT

		导入表

		IMAGE_DIRECTORY_ENTRY_RESOURCE

		资源

		IMAGE_DIRECTORY_ENTRY_EXCEPTION

		异常(具体资料不详)

		IMAGE_DIRECTORY_ENTRY_SECURITY

		安全(具体资料不详)

		IMAGE_DIRECTORY_ENTRY_BASERELOC

		重定位表

		IMAGE_DIRECTORY_ENTRY_DEBUG

		调试信息

		IMAGE_DIRECTORY_ENTRY_ARCHITECTURE

		版权信息

		IMAGE_DIRECTORY_ENTRY_GLOBALPTR

		具体资料不详

		IMAGE_DIRECTORY_ENTRY_TLS

		Thread Local Storage

		IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG

		具体资料不详

		IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT

		具体资料不详

		IMAGE_DIRECTORY_ENTRY_IAT

		导入函数地址表

		IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT

		具体资料不详

		IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR

		具体资料不详*/



	DWORD * AllAddress;

	DWORD * AllName;

	USHORT   * AllOrg;



	AllAddress = (DWORD*)((int)Export->AddressOfFunctions + (int)Pdos);//函数地址数组

	AllName    = (DWORD*)((int)Export->AddressOfNames + (int)Pdos);//函数名称数组

	AllOrg = (USHORT  *)((int)Export->AddressOfNameOrdinals + (int)Pdos);//序号数组



	//////////////////////////////////////////////////////////////////////////

	int     OneAddress;

	char *  OneName;

	USHORT     OneOrg;

	char *  Buf = new char[500];

	int ListId = NULL;



	for (int i = 0; i < (int)Export->NumberOfNames; i++){



		OneName = (char*)((BYTE*)Pdos + AllName[i]);

		OneOrg = (USHORT)AllOrg[i];

		OneAddress = (int)((int)Pdos + AllAddress[OneOrg]);



		if (NULL == _stricmp(OneName, "_itoa_s")){

			ZeroMemory(Buf, 500 * sizeof(char));

			wsprintfA(Buf, "_itoa_s -> 0x%08X  |  %d   |  %d\n\0", OneAddress, OneOrg, AllAddress[OneOrg]);

			OutputDebugStringA(Buf);

		}

	}

	delete Buf;

}

...全文
330 4 打赏 收藏 转发到动态 举报
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
赵4老师 2014-09-16
  • 打赏
  • 举报
 回复
《Windows PE权威指南》
人情恶飞 2014-09-15
  • 打赏
  • 举报
 回复
引用 1 楼 xiaohuh421 的回复:
多半是你自己计算错误 AllAddress = (DWORD*)((int)Export->AddressOfFunctions + (int)Pdos); OneAddress = (int)((int)Pdos + AllAddress[OneOrg]); 你确定这样计算没错?
刚刚 发现一个问题,就是 OD 定位后 已经不属于 NtDll.dll 文件了,已经跑到别的地方了 CE 定位最准确 而自己写的这个 起事实上定位也不算全错, 只不过他定位的不是_itoa_s 而是itoa_s
人情恶飞 2014-09-15
  • 打赏
  • 举报
 回复
引用 1 楼 xiaohuh421 的回复:
多半是你自己计算错误 AllAddress = (DWORD*)((int)Export->AddressOfFunctions + (int)Pdos); OneAddress = (int)((int)Pdos + AllAddress[OneOrg]); 你确定这样计算没错?
开始 我也认为 我写错了,但是 对比了一下 只有少部分 不准确 大部分还是很准的 如果说 计算错误的话,至少要差不多全错吧 ? 或者说 有一些数据需要特殊的计算方式?
xiaohuh421 2014-09-15
  • 打赏
  • 举报
 回复
多半是你自己计算错误 AllAddress = (DWORD*)((int)Export->AddressOfFunctions + (int)Pdos); OneAddress = (int)((int)Pdos + AllAddress[OneOrg]); 你确定这样计算没错?
PE结构&导出
通常情况下,导出存在于动态链接库文件里。但不能简单地认为EXE中没有导出,例如WinWord.exe文件里就有;也不能简单地认为所有的DLL中都有导出,例如一些专门存放资源位文件的DLL里就没有导出。 它的存在...
PE文件结构
参考《加密与解密》《Windows PE权威指南》 目录 1、PE文件的结构 1、什么是可执行文件? 2、PE文件的特征 ...1、输出导出) 2、输入(导入) 3、重定位 4、资源 1、PE文件的结构...
PE导入和IAT的原理及工作关系
PE导入和IAT的原理及工作关系 文章目录PE导入和IAT的原理及工作关系0.说明1.PE导入和IAT大致工作关系(1)为什么会有IAT(2)为什么会有导入2.导入和IAT的真正关系(原理)(1)...
导出钩子之EAT HOOK解析
EAT HOOK与IAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_...
深入解析PE文件结构导出获取
新学期新气象,一般是小学作文的开头,在此引用一下。 ...另一个作用就是找到PE文件头的位置,这是我们要关心的,本文只注重所要关心的问题——导出。和一些你再众多网上资料上很难找到的细节,
其它技术问题

3,881

社区成员

9,053

社区内容

发帖
与我相关
我的任务
社区描述
C/C++ 其它技术问题
社区管理员
  • 其它技术问题社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章