PE文件格式详解（七）

PE文件格式详解（七）

  Ox00 前言

前面好几篇在讲输入表，今天要讲的是输出表和地址的是地址重定位。有了前面的基础，其实对于怎么找输出表地址重定位的表已经非常熟悉了。

  0x01 输出表结构

当创建一个DLL文件时，实际上创建了一组能让EXE或者其他DLL调用的一组函数，PE装载器根据DLL文件中输出信息修正正在执行文件的IAT。当一个DLL函数能被EXE或者DLL文件使用时，它被称为输出了。其中输出信息被保存在输出表中，DLL文件通过输出表向系统提供输出函数名，序号和入口信息。

对于EXE文件一般不存在输出表，而大部分DLL文件都有输出表。输出表是由一个叫做IMAGE_EXPORT_DIRECTORY（简称IED）组成。IED存放着输出函数名，输出序数等信息，他的结构如下：

typedef struct _IMAGE_EXPORT_DIRECTORY {

DWORD   Characteristics;    // 未使用，总为0

DWORD   TimeDateStamp;      // 文件创建时间戳

WORD    MajorVersion;       // 未使用，总为0

WORD    MinorVersion;       // 未使用，总为0

DWORD   Name;               // 指向一个代表此 DLL名字的 ASCII字符串的 RVA

DWORD   Base;               // 函数的起始序号

DWORD   NumberOfFunctions;  // 导出函数的总数

DWORD   NumberOfNames;      // 以名称方式导出的函数的总数

DWORD   AddressOfFunctions;     // 指向输出函数地址的RVA

DWORD   AddressOfNames;         // 指向输出函数名字的RVA

DWORD   AddressOfNameOrdinals;  // 指向输出函数序号的RVA

} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

下面介绍几个重要字段：

Name：指向的是的ASCII字符串的RVA

NumberOfFunctions:输出表EAT表中的数据条目数。

NumberOfName:输出表ENT表中的数据条目数，ENT也是一个RVA地址，不过每项指向的是函数名字的ascii码。

AddressOfFunctions:是指向EAT的RVA值EAT是RVA一个数组，每一项指向了被输出的函数的地址。

AddressOfNames：是指向ENT的RVA值,ENT也是一个数组，每项指向被输出函数的名字。

下图是他们之间的关系图：

  0x02实例分析输出表结构

1）用hexworkshop打开DLLDemo.DLL文件，找到数据目录表的第一项，它在文件头偏移78h处。如下图：

值为RVA=4000h，转化为FileOffset=800h。此处即为输出表结构所在地址。

2）跳往800h，依次读出几个重要字段的值如下图：

由上图可知各个字段的RVA值，Name=0000 4032，NumberOfFunctions=0000 0010 NumberOfNames：0000 0010

AddressOfFunctions=0000 4028 ，AddressOfNames=0000 402c 。两个Address字段全都转化为FileOffset值。

Name=832h，AddressOfFunctions=828h，AddressOfNames=82ch。跳往832h如下图：

可知输出的DLL名字叫做DLLDemo.DLL,跳往828h即可找到输出函数的EAT表，跳往82ch即可找到输出函数的ENT表。

  0x03 输出实现过程总结

PE装载器调用GetProcAddress来查找DLLDemo.DLL里的api函数，系统通过定位DLLDemo.DLL的IMAGE_EXPORT_DIRECTORY（出书目录表）结构开始工作，从这个结构中他获得输出函数名称表（ENTb表）的起始地址，进而知道这个数组只有一个元素，他对名字进行二进制查找直到发现字符串“MegBox”。PE装载器发现MsgBox是数组的第一个元素，加载器然后从输出序数表读取相应的第一个值，这个值是MsgBox的输出序数。使用输出序数作为进入EAT的索引，他得到MsgBox的值是1008h，1008h加上DllDemo.DLL的装入地址得到MsgBox的实际地址。

0x04 基址重定位概念

当连接器生成一个PE文件时，他假设这个文件执行时会被装入默认的基址处，并且把code和data的相关地址写入PE文件中。如果装入是按照默认的值作为基址装入，则不需要基址重定位，但是如果可执行文件被装在到内存中的另一个地址，链接器所登记的地址就是错的这时就需要用重定位表来调整。在PE文件中，它往往单独分为一块，用“.reloc”来表示。PE文件重定位过程。

0x05 详细解读基址重定位

基址重定位表放在一个位于.relo的区域中，但是找到它需要通过数据目录表的第五项成员Base reloction Table，这项所指向重定位的基本结构IMAGE_BASE_RELOCATION。

IMAGE_BASE_RELOCATION的基本定义如下：

struct IMAGE_BASE_RELOCATION {

DWORD   VirtualAddress;//重定位数据开始RVA

DWORD   SizeOfBlock;//重定位块的长度

WORD    TypeOffset;//重定位项位数组

}

IMAGE_BASE_RELOCATION ENDS

下面分别解释一下这几个字段：

VirtualAddress：是这一组重定位数据的开始的RVA地址。其实就是原来的地址加上这个值就完成了重定位。

SizeOfBlock：当前重定位结构的大小，因为VirtualAddress和SizeOfBlock都是固定的四个字节，所以SizeOfBlock的值减去8就得到了重定位块的大小。

TypeOffset：这个字段很有意思，一个两个字节16位，高四位代表重定义类型，低12位装入的是我们需要重定位的地址，即这个地址加上前面的字段VirtualAddress的值完成重定位。注意Typeoffset是一个数组他的值有SizeOfBlock-8决定。

下图位重定位示意图：

 0x06 实例讲解地址重定位

1）hexWrokShop打开PE文件DllDemo.DLL。通过数据目录表的第五项找到重定位结构IMAGE_BASE_RELOCATION，即在PE文件头偏移地址为A0h处，跳往a00h处，下图标黑地方即为结构IMAGE_BASE_RELOCATION数据。

我们注意到第一个字段VritualAddress=0000 1000h，SizeOfBlock=0000 0010h，由此可得数组TypeOffset共八个个字节。每个元素两个字节则共四组数据。整理得出下表：

项目	重定位数据1	重定位数据2	重定位数据3	重定位数据4
原始数据	0F 30	23 30	00 00	00 00
TypeOffset值	30 0F	30 23	00 00	00 00
TypeOffset高四位	3	3
TypeOffset低12位	00F	023
低12位加上VritualAddress	100F（RVA值）	1023（RVA值）
转换成FileOffset	20F	223

重定位后的地址如下图：