用winhex解析kernal32.dll文件

kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。


PE文件的基本格式

PE的意思就是Portable Executable(可移植、可执⾏),它是Win32 可执⾏文件的标准格式。实际上是不可移植的。

RVA(相对虚拟地址)相对虚拟地址是⼀一个相对于PE⽂文件映射到内存的基地址的偏移量。使用RVA 是为了减少PE装载器的负担。因为每个模块都有可能被重载到任何虚拟地址,如果所有重定位项都使用 RVA,那么 PE 装载器只要将整个模块重定位到新的起始 VA。这就像相对路径和绝对路径的概念:虚拟地址VA = 相对虚拟地址 RVA+基地址ImageBase

PE文件结构如下图

         

用winhex解析kernal32.dll文件_第1张图片

由图可知,PE文件由PE文件头标志,映像文件头和可选映像头三部分组成。

             用winhex解析kernal32.dll文件_第2张图片

        通过SizeOfOptionalHeader可以知道节表的起始位置

        通过利用NumberOfSections,可以进一步确定后一个节表的末尾地址 (每个节表28H个字节)。这样,在添加新节时,就可以找到新节表应该所在的位置。如果我们要在文件中增加或删除一个节,就需要修改 NumberOfSections。 

  1. PE文件标志 PE00(4H字节) PE ⽂文件标志 0x50450000 即 PE00,标志着 NT 映像头的开始,也是 PE ⽂文件中与 Windows 有关内容的开始。我们可以在DOS程序头中的偏移3CH处的4个字节找到定位该字符串的偏移位置。
  2. 映像文件头( 14H字节) 紧跟着“ PE00” 的是映像⽂文件头。映像⽂文件头是映像头的主要部分,它包含有PE⽂文件的基本信息。(注释符号后面的十六进制数是域在 NT 映像头中的偏 移量量,从4H开始,是因为PE标志字符串串占4H字节)  
  3. 可选映像头  紧跟映像文件头后面,尽管叫可选映像头,实际上是不可选的, 是“ 必选” 的,包含了PE 文件的逻辑分布信息。可选映像头的结构定义如下:( 1DWORD=2WORD=4BYTE=16BIT)

用winhex解析kernal32.dll文件_第3张图片

用winhex解析kernal32.dll文件_第4张图片

        我们可以发现,需要寻找的数据目录表DATA_DIRECTRORY在可选映像头的最后,也就是离PE文件头74H,文件头标志位占4H,故离PE文件开始位置为78H

        数据目录表结构及索引如下图

用winhex解析kernal32.dll文件_第5张图片

由图可知,数据目录表的结构为RVA地址与Size大小。在winhex里面即前4个字节与后四个字节,共8个字节大小。前8个字节为导出目录相关信息。后8个字节为导入目录相关信息。


节表

节表其实就是紧挨着 NT 映像头的一结构数组,其成员的数目由映像文件头结构 IMAGE_FILE_HEADER 中 NumberOf Sections 域的域值来决定。节表中每个结构(28H 字节)包含了了该节的具体信息。节表的结构数组成员的数据结构定义如下: 
 其中,UCHAR = 8个字节, ULONG = 4 个字节 UCHAR = 2 个字节  共40(28H)个字节

用winhex解析kernal32.dll文件_第6张图片

VirtualSize:本节的实际字节数,可以⽤用来计算出文件对齐后的节尺寸。 

VirtualAddress:本节的RVA,PE装载器将节映射到内存时会读取该值,因此, 如果域值是 1000H,而 PE 文件装载地址是 400000H,那么,本节就被载到 401000H。 

SizeOf RawData:经过文件对齐后的节尺寸。经过文件对齐后的节尺寸一般都比该节的实际字节数要多
95
PointerToRawData:节基于文件的偏移量量,PE 装载器器通过本域值找到节数据在文件中的位置,创建新节时应该给出该值。 

Characteristics:节属性。

基地址BASE = PointerToRawData - VirtualSize

 PE 装载器的工作:

读取IMAGE_FILE_HEADER的NumberOf Sections域,获取⽂文件的节数目。 

SizeOf Headers域值作为节表的⽂文件偏移量量,并以此定位节表。 

遍历整个结构数组检查各成员值,对于每个结构,读取 PointerToRawData 域值并定位到该⽂文件偏移量量,然后再读取 SizeOf RawData 域值来决定映射内存的字节数。将VirtualAddress域值加上ImageBase域值等于节起始的虚拟地址, 然后就准备把节映射进内存,并根据Characteristics域值设置属性。 

遍历整个数组,直⾄至所有节都已处理完毕

 


导出函数目录与导入函数目录

1、导出函数

导出函数节是本文件向其他程序提供的可调用函数列表。这个节一般⽤用在DLL中, EXE⽂文件中也可以有这个节,但通常很少使⽤用。 当PE装载器器执行一个程序,它将相关DLL都装入该进程的地址空间,然后根据主程序的导入函数信息,查找相关 DLL 中的真实函数地址来修正主程序。PE 装载器搜寻的是DLL中的导出函数。 

导出函数表的结构如下:

用winhex解析kernal32.dll文件_第7张图片

我们所需要寻找的内容为

AddressOf Functions:模块中有一个指向所有函数/符号的 RVA 数组,本域就是指向该 RVA 数组的 RVA。简而言之,模块中所有函数的 RVA 都保存在一个数组里,本域就指向该数组的首地址。该数组每个成员占 4 个字节,表示相应函数 的入口地址的RVA。数组的项数等于NumberOf Functions字段的值。

AddressOf Names:与以上类似,模块中有一个指向所有函数名的 RVA数组, 本域就是指向该RVA 数组的RVA。该数组每个成员占4个字节,表示相应函数名称字符串的 RVA。数组的项数等于 NumberOf Names 字段的值。这是一个非常重要的域。通常,我们知道要想获取地址的函数的名称,首先要获得这个指针,找到相应的字符串地址数组,再通过数组里面的地址找到相应的字符串进行比较,如果匹配的话就找到了所需要的函数,记住其序号x,然后通过这个序号就可以从AddressOf NameOrdinals指向的序号表中的第x个成员找到所需函数地址在AddressOf Functions字段所指向的数组中的具体位置y,从而找到了所需要的函数地址。

AddressOf NameOrdinals:也是一个RVA,指向包含上述AddressOf Names数组 中相关函数之序数的 16 位数组。数组的项目与文件名地址表 AddressOf Names 中的项目一一对应,项目的值代表函数入口地址表AddressOf Functions的索引, 这样,函数名称就与函数入口地址关联起来了。

已知函数序号获得函数地址如下:① 定位到PE header。 ② 从数据⽬目录表读取导出表的虚拟地址。 ③ 定位导出表获取Base值。 ④ 减掉Base值得到指向AddressOf Functions数组的索引。 ⑤ 将该值与NumberOf Functions作⽐比较,⼤大于等于后者则序数⽆无效。 ⑥ 通过上⾯面的索引就可以获取AddressOf Functions数组中的RVA。 

2、导入函数

导入函数节包含有从其他DLL(如user32.dll)中导入的函数。该节开始是一个成员为IMAGE_IMPORT_DESCRIPTOR结构的结构数组,即导入地址表(IAT), 简称导入表。数据目录表项结构成员 VirtualAddress 包含导入表地址。该数组的长度不定,但它的后一项是全 0,可以据此判断数组的结束。

导入函数表结构如下:

用winhex解析kernal32.dll文件_第8张图片

我们所需要对比的内容为:

FirstThunk和OriginalFirstThunk在文件打开状态下指针指向相同,但是在内存中不一样。


用winhex解析kernal32.dll文件

用winhex打开kernal32文件有两种打开方法,一种是在文件状态下打开,一种是在内存状态下打开。两者的区别就在于内存状态下打开时,winhex内显示的文件起始部分为kernal32的基地址。

内存状态下

1、打开kernal32文件:通过工具——打开RAM——选择一个进程中的kernal32.dll文件打开

用winhex解析kernal32.dll文件_第9张图片

2、由图可知,

基地址为73D50000   PE文件头标志位 45 50

偏移78h后找到导出表RVA 00 09 10 20 /SIZE 00 00 D8 50

                           导入表RVA 00 09 E8 70/SIZE 00 00 07 1C

用winhex解析kernal32.dll文件_第10张图片

3.1 跳转到导出函数表:

VA = BASE + RVA = 73D50000 + 00091020 = 73DE1020  内容如下

用winhex解析kernal32.dll文件_第11张图片

AddressOfFunctions的RVA:  00 09 10 48                             VA= 73D50000+00091048=73DE1048

AddressOfNames的RVA: 00 09 29 34                                  VA=73D50000+00092934=73DE2934

AddressOfNameOrdinals的RVA: 00 09 42 20

3.2 跳转至函数名RVA数组,跳转到函数序号

offset = BASE + RVA = 73D50000 + 00 09 29 34= 73 DE 29 34

offset = 73D50000 + 00 09 42 20 = 73 DE 42 20

函数名RVA数组如下

用winhex解析kernal32.dll文件_第12张图片

函数序号如下

用winhex解析kernal32.dll文件_第13张图片

 

3.3 根据函数名RVA跳转至函数名

offset = 73D50000 + 00 09 4F 02 = 73 DE 4F 02

用winhex解析kernal32.dll文件_第14张图片

由此,可以通过遍历函数名找到所需要寻找的函数,再根据遍历次数找到函数名序号,找到函数所在地址。 

4.1 跳转至导入表

offset = 73 D5 00 00 + 00 09 E8 70 = 73 DE E8 70

用winhex解析kernal32.dll文件_第15张图片

OriginalFirstThunk(是一个IMAGE_THUNK_DATA结构数组的RVA,该 RVA 在文件中与FirstThunk域中指针指向相同,但在内存中不一样 ) 00 09 FB 7C

ForwarderChain 00 00 00 00

Name: 00 0A 04 78

FirstThunk:00 08 16 B0

4.2 跳转到Name,得到导入dll名

offset = BASE + RVA = 73 D5 00 00 + 00 0A 04 78 = 73 DF 04 78

用winhex解析kernal32.dll文件_第16张图片

文件状态下

1、打开kernal32文件:

    用winhex解析kernal32.dll文件_第17张图片

2、找到PE文件头,同时在映像头内找到节表的数目和可选头的大小。

PE标志末尾偏移0x04 NumberOfSections : 00 05 
PE标志末尾偏移0x10 SizeOfOptionalHeader: 00 E0 –> 224

用winhex解析kernal32.dll文件_第18张图片

3、分析可选映像头

用winhex解析kernal32.dll文件_第19张图片

SizeOfCode(可执行代码长度): 00 06 10 00   // 偏移4
AddressOfEntryPoint(代码入口RVA): 00 01 06 A0  //偏移16
ImageBase(相对PE头偏移 34):  6B 80 00 00   //偏移28
SectionAlignment(加载后节在内存中的对齐方式 ):  00 01 00 00  //偏移32
FileAlignment(节在文件中的对齐⽅方式 ): 00 00 01 00  //偏移36

SizeOfImage( 程序调入后占用内存大小):  00 0E 00 00  //偏移52
NumberOfRvaAndSizes( 数据目录的项数,):  00 00 00 10 

 

4、从PE文件头起始位置开始偏移78H到达数据目录表

如图,导出函数RVA为00 09 10 20 /大小为00 00 D8 50      导入函数RVA为00 09 E8 70/大小为00 00 07 2C

Offset =  00 00 24 E4  -   00 00 10 00 + 00 00 04 00 =  00 00 18 E4

 

 

 

用winhex解析kernal32.dll文件_第20张图片

5、从PE映像头末尾偏移可选映像头大小 224 到达节表

用winhex解析kernal32.dll文件_第21张图片

Name: .text 
VirtualSize: 00 06 06 16
VirtualAddress(内存对齐后地址):  00 01 00 00 
SizeOfRawData(文件对齐后尺寸):   00 06 10 00
PointerToRawData(文件对齐处位置):  00 00 10 00

Name: .rdata 
VirtualSize:  00 02 7D 1C
VirtualAddress(内存对齐后地址):  00 08 00 00
SizeOfRawData(文件对齐后尺寸):  00 02 80 00
PointerToRawData(文件对齐处位置): 00 06 20 00

Name: .data 
VirtualSize:  00 00 0C 54
VirtualAddress(内存对齐后地址):  00 0B 00 00
SizeOfRawData(文件对齐后尺寸):  00 00 10 00
PointerToRawData(文件对齐处位置): 00 08 A0 00

Name: .rsrc
VirtualSize:  00 00 05 20
VirtualAddress(内存对齐后地址): 00 0C 00 00
SizeOfRawData(文件对齐后尺寸):  00 00 10 00
PointerToRawData(文件对齐处位置):00 08 B0 00

Name: .reloc 
VirtualSize:  00 00 46 40
VirtualAddress(内存对齐后地址): 00 0D 00 00
SizeOfRawData(文件对齐后尺寸): 00 00 50 00
PointerToRawData(文件对齐处位置):  00 08 C0 00

 

6、跳转至导出表

导出函数RVA为00 09 10 20  在节表.rdata里面 节表RVA00 00 08 00 大小00 02 7D 1C

Offset =  00 09 10 20  + 00 06 20 00 -   00 08 00 00 =  00 07 30 20

减数为第二个节表 .rdata的VirtualAddress (00 08 00 00) - PointerToRawData( 00 06 20 00) = 1E000
导出表如下图

用winhex解析kernal32.dll文件_第22张图片

AddressOf Functions:00 09 10 48

AddressOf Names: 00 09 29 34

AddressOf NameOrdinals:00 09 42 20

7、跳转至函数名的RVA数组

offset = 00 09 29 34 - 00 01 E0 00 =  00 07 49 34   部分数组指向的函数名RVA如下图,每4个字节一个RVA

用winhex解析kernal32.dll文件_第23张图片

8、跳转到函数名

第一个函数名的offset = 00 09 4F 02 - 00 01 E0 00 =  00 07 6F 02 ,由此找到了函数名

用winhex解析kernal32.dll文件_第24张图片

 

你可能感兴趣的:(用winhex解析kernal32.dll文件)