导出表编程-1-枚举导出表

开始前先回忆一下导出表:


1.枚举dll函数的导出函数名字:

思路:

(1)加载dll到内存里。

(2)获取PE头,逐步找到可选头部。

(3)然后找到里面的第一个结构(导出表)地址,这个地址指向一个IMAGE_EXPORT_DIRECTORY,然后找到里面的

这个地址是一个数组(DWORD),每个值都指向一个导出函数的名字字符串所在地址,然后根据

确定个数,直接枚举就行了。

代码如下:

#include "stdafx.h"

#include <windows.h>

#include <winbase.h>

#include <stdio.h>

#include <tchar.h>

#include <imagehlp.h>

#include <vector>

#include <iostream>

#include <string>

using namespace std;

typedef PVOID (CALLBACK* PFNEXPORTFUNC)(PIMAGE_NT_HEADERS,PVOID,ULONG,PIMAGE_SECTION_HEADER*);

BOOL printAllFuncName(WCHAR* wcFileName ,vector<string> &vcFuncName){

	vcFuncName.clear();

    LPWIN32_FIND_DATA lpwfd_first=new WIN32_FIND_DATA;//接受findfirstfile的结构指针

    HANDLE hFile,hFileMap;//文件句柄和内存映射文件句柄

    DWORD fileAttrib=0;//存储文件属性用,在createfile中用到。

    void* mod_base;//内存映射文件的起始地址,也是模块的起始地址

    PFNEXPORTFUNC ImageRvaToVax=NULL;

    HMODULE hModule=::LoadLibrary(L"DbgHelp.dll");

    if(hModule!=NULL){

        ImageRvaToVax=(PFNEXPORTFUNC)::GetProcAddress(hModule,"ImageRvaToVa");

        if(ImageRvaToVax==NULL){

            ::FreeLibrary(hModule);

            //printf("取得函数失败\n");

			return FALSE;

        }

	}else{

         //printf("加载模块失败\n");

         return FALSE;

    }

    if(FindFirstFile(wcFileName,lpwfd_first)==NULL){//返回值为NULL,则文件不存在,退出

       //printf("文件不存在: %s ",wcFileName);

       return FALSE;

    }else{

       DWORD fileAttrib=lpwfd_first->dwFileAttributes;

    }

    hFile=CreateFile(wcFileName,GENERIC_READ,0,0,OPEN_EXISTING,fileAttrib,0);

    if(hFile==INVALID_HANDLE_VALUE){

       //printf("打开文件出错!");

       return FALSE;

    }

    hFileMap=CreateFileMapping(hFile,0,PAGE_READONLY,0,0,0);

    if(hFileMap==NULL){

        CloseHandle(hFile);

        //printf("建立内存映射文件出错!");

        return FALSE;

    }

     mod_base=MapViewOfFile(hFileMap,FILE_MAP_READ,0,0,0);

     if (mod_base==NULL)

     {

         //printf("建立内存映射文件出错!");

         CloseHandle(hFileMap);

         CloseHandle(hFile);

         return FALSE;

     }

     IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)mod_base;

     IMAGE_NT_HEADERS * pNtHeader =

        (IMAGE_NT_HEADERS *)((BYTE*)mod_base+ pDosHeader->e_lfanew);//得到NT头首址

     IMAGE_OPTIONAL_HEADER * pOptHeader =

        (IMAGE_OPTIONAL_HEADER *)((BYTE*)mod_base + pDosHeader->e_lfanew + 24);//optional头首址

     IMAGE_EXPORT_DIRECTORY* pExportDesc = (IMAGE_EXPORT_DIRECTORY*)ImageRvaToVax(pNtHeader,mod_base,pOptHeader->DataDirectory[0].VirtualAddress,0);

     //导出表首址

     PDWORD nameAddr=(PDWORD)ImageRvaToVax(pNtHeader,mod_base,pExportDesc->AddressOfNames,0);//函数名称表首地址每个DWORD代表一个函数名字字符串的地址

     PCHAR func_name = (PCHAR)ImageRvaToVax(pNtHeader,mod_base,(DWORD)nameAddr[0],0);

     DWORD i=0;

     DWORD unti=pExportDesc->NumberOfNames;

     for(i=0;i<unti;i++){

        func_name = (PCHAR)ImageRvaToVax(pNtHeader,mod_base,(DWORD)nameAddr[i],0);

		//printf("%s\n",func_name);

		vcFuncName.push_back(string(func_name));

     }

     ::FreeLibrary(hModule);

     CloseHandle(hFileMap);

     CloseHandle(hFile);

	 return TRUE;

}

int main(int argc, char* argv[]){

	vector<string>vcFuncName;

    printAllFuncName(L"C:\\A.dll" ,vcFuncName);

	for(vector<string>::iterator it  = vcFuncName.begin(); it != vcFuncName.end();it++){

         cout<<*(it)<<endl;

    }

    getchar();

    return 0;

}

下面两个不去实现了,和上面的差不多。

2.根据编号查找函数地址

3.根据名字查找函数地址


WindowsPE 第五章 导出表编程-1(枚举导出表)的更多相关文章

  1. WindowsPE 第五章 导出表

    导出表 PE中的导出表存在于动态链接库文件里.导出表的主要作用是将PE中存在的函数导出到外部,以便其他人可以使用这些函数,实现代码重用. 5.1导出表的作用 代码重用机制提供了重用代码的动态链接库,它 ...

  2. #《Essential C++》读书笔记# 第五章 面向对象编程风格

    基础知识 继承机制定义了父子(parent/child)关系.父类(parent)定义了所有子类(children)共通的共有接口(public interface)和私有实现(private imp ...

  3. 第五章 javascript编程可养成的好习惯

    用户点击某个链接时弹出一个新窗口javascript使用window对象的open()方法来创建新的浏览器窗口,这个方法有三个参数:window.open(url,name,features)url: ...

  4. 《java编程思想》读书笔记(一)开篇&第五章(1)

    2017 ---新篇章  今天终于找到阅读<java编程思想>这本书方法了,表示打开了一个新世界. 第一章:对象导论 内容不多但也有20页,主要是对整本书的一个概括.因为已经有过完整JAV ...

  5. UNIX 网络编程第五章读书笔记

    刚看完 UNIX 第五章内容,我想按照自己的方式将自己获得的知识梳理一遍,以便日后查看!先贴上一段简单的 TCP 服务器端代码: #include <sys/socket.h> #incl ...

  6. 安卓权威编程指南 - 第五章学习笔记(两个Activity)

    学习安卓编程权威指南第五章的时候自己写了个简单的Demo来加深理解两个Activity互相传递数据的问题,然后将自己的学习笔记贴上来,如有错误还请指正. IntentActivityDemo学习笔记 ...

  7. C#高级编程 (第六版) 学习 第五章:数组

    第五章 数组 1,简单数组 声明:int[] myArray; 初始化:myArray = new int[4]; 为数组分配内存. 还可以用如下的方法: int[] myArray = new in ...

  8. [书籍翻译] 《JavaScript并发编程》第五章 使用Web Workers

    本文是我翻译<JavaScript Concurrency>书籍的第五章 使用Web Workers,该书主要以Promises.Generator.Web workers等技术来讲解Ja ...

  9. 《Linux命令行与shell脚本编程大全》 第十五章 学习笔记

    第十五章:控制脚本 处理信号 重温Linux信号 信号 名称 描述 1 HUP 挂起 2 INT 中断 3 QUIT 结束运行 9 KILL 无条件终止 11 SEGV 段错误 15 TERM 尽可能 ...

随机推荐

  1. 关于主机不能访问虚拟机的web服务解决

    centos7默认并没有开启80端口,我们只有开启就行 [root@localhost sysconfig]# firewall-cmd --permanent --add-port=3032/tcp ...

  2. (数据科学学习手札111)geopandas 0.9.0重要新特性一览

    本文示例文件已上传至我的Github仓库https://github.com/CNFeffery/DataScienceStudyNotes 1 简介 就在几天前,geopandas释放了其最新正式版 ...

  3. P3387 【模板】缩点 题解 (Tarjan)

    题目链接 P3387 [模板]缩点 解题思路 这几天搞图论,好有趣hhh,多写几篇博客. 上次学\(Tarjan\)求割点,这次缩点. 思路大概是多一个栈和染色的步骤,每次\(Tarjan\)的时候把 ...

  4. 现代c++模板元编程:遍历tuple

    tuple是c++11新增的数据结构,通过tuple我们可以方便地把各种不同类型的数据组合在一起.有了这样的数据结构我们就可以轻松模拟多值返回等技巧了. tuple和其他的容器不同,标准库没有提供适用 ...

  5. 保姆级教程!使用k3d实现K3s高可用!

    你是否曾经想尝试使用K3s的高可用模式?但是苦于没有3个"备用节点",或者没有设置相同数量的虚拟机所需的时间?那么k3d这个方案也许你十分需要噢! 如果你对k3d尚不了解,它的名字 ...

  6. 使用ant design vue的日历组件,实现一个简单交易日与非交易日的切换

    使用ant design vue的日历组件,实现一个简单交易日与非交易日的切换 需求: 日历区分交易日.非交易日 可以切换面板查看整年交易日信息 可以在手动调整交易日.非交易日 演示实例 序--使用软 ...

  7. 在 .NET Core 中使用 ViewConfig 调试配置

    介绍 .NET Core 中的配置包含了多个配置提供程序,包括了 appsettings.json,环境变量,命令行参数等,还有一些扩展的自定义提供程序,比如说 ApolloConfig,AgileC ...

  8. Spring笔记(四)

    Spring JdbcTemplate 一.JdbcTemplate概念及使用 1. 什么是JdbcTemplate: Spring框架对JDBC进行封装,使用JdbcTemplate方便实现对数据库 ...

  9. 【linux】命令-网络相关

    目录 前言 1. ifconfig 1.1 语法 1.2 参数说明 1.3 例程 2. iw 2.1 扫描可用无线网络 2.2 WiFi连接步骤(教程A) 2.2.1 查看可以用无线设备信息 2.2. ...

  10. Oracle 19c Data Guard DML Redirection ADG备库上执行DML重定向(未来更好的进行读写分离)

    资料来自官方网站: https://docs.oracle.com/en/database/oracle/oracle-database/19/sbydb/managing-oracle-data-g ...